CVE-2024-37085 · Bilgilendirme

VMware ESXi Authentication Bypass Vulnerability

CVE-2024-37085, kötü niyetli aktörlerin ESXi sunucularına yetkisiz erişim sağlamasına olanak tanıyan bir zafiyettir.

Üretici
VMware
Ürün
ESXi
Seviye
Orta
Yayın Tarihi
02 Nisan 2026
Okuma
8 dk okuma

CVE-2024-37085: VMware ESXi Authentication Bypass Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

VMware ESXi, birçok veri merkezinde sanal makine yönetimi için yaygın olarak kullanılan bir platformdur. Ancak bu güvenilir sistemdeki bir güvenlik açığı, CVE-2024-37085, siber güvenlik topluluğunu derinden endişelendiriyor. Bu zafiyet, bir yetkisiz kullanıcının, Active Directory (AD) üzerindeki belirli izinlere sahip olması durumunda, önceki AD yapılandırmalarını kullanarak kimlik doğrulama bypass (auth bypass - kimlik doğrulama atlatma) yapmasını sağlayan bir açığı ifade ediyor. Zafiyet, saldırganların "ESXi Admins" adındaki varsayılan AD grubunu yeniden oluşturmasına ve bunun sonucunda tam erişim kazanmasına imkan tanıyor.

Bu tür bir zafiyet, birçok sektörde kritik öneme sahip olabilir. Sağlık, finans, eğitim gibi sektörler, VMware ESXi tabanlı sistemleri sıklıkla kullanır. Örneğin, sağlık sektöründeki bir veri merkezi, hasta bilgilerini ve kritik sistemleri yöneten sanal makineleri barındırıyorsa, bu zafiyetin kötüye kullanılması, hasta bakımını ciddi şekilde etkileyebilir. Finansta ise kullanıcı verileri, işlem bilgileri ve muhasebe kayıtları gibi son derece hassas bilgilere erişim sağlanması, büyük mali kayıplara yol açabilir.

CVE-2024-37085 zafiyetinin arka planında, özellikle AD ile entegrasyon sürecindeki yetersizlikler yatmaktadır. VMware ESXi, AD ile kullanıcı yönetimi yapılacak şekilde yapılandırıldığında, doğru izinlere sahip olan kullanıcıların, grupları yeniden oluşturarak sistem üzerinde tam kontrol edinmelerine olanak tanımaktadır. Saldırgan, özellikle bir AD grubunun silinmesi durumunda, bunu bekleyerek grubun adını ve izinlerini yeniden oluşturarak sistem üzerinde tam erişim elde edebilir.

Bu açığın yaratıcı bir şekilde istismar edilmesi durumunda, saldırganlar, sistem üzerinde zararlı yazılımlar çalıştırabilir (RCE - Uzak Kod Yürütme), verileri çalabilir veya sistemin işleyişini bozabilir. Bunun yanı sıra, ağ üzerinde yedekleme ve geri yükleme gibi kritik süreçler de olumsuz etkilenebilir. Ayrıca, kurumsal veri güvenliğini ciddi şekilde zedeleyebilir, itibar kaybına uğratabilir ve yasal sorunlara yol açabilir.

Bu tür bir güvenlik açığına karşı alınabilecek önlemler arasında, AD gruplarının yönetimini dikkatli yapmak ve belirli izinleri minimum seviyeye indirmek yer almaktadır. Ayrıca, güvenlik duvarı ve ağ izleme sistemleri kullanılarak şüpheli aktivitelerin erken tespiti sağlanabilir. ESXi sistemlerini güncel tutmak ve VMware tarafından yayınlanan güvenlik güncellemelerini takip etmek, zafiyetin kötüye kullanılma olasılığını azaltmada kritik rol oynamaktadır.

Sonuç olarak, VMware ESXi üzerindeki CVE-2024-37085 zafiyeti, yalnızca bir güvenlik açığı olmanın ötesinde, sistemlerin güvenliğini tehdit eden ciddi bir durumdur. Uygun önlemler alınmadığı takdirde, bu zafiyetin etkileri, kurumlar üzerinde kalıcı hasar bırakan sonuçlara yol açabilir. Güvenlik uzmanları olarak, bu tür açıkların sürekli izlenmesi ve yönetilmesi, veri güvenliğinin sağlanmasında hayati öneme sahiptir.

Teknik Sömürü (Exploitation) ve PoC

VMware ESXi, birçok kurumsal altyapıda kritik bir rol oynayan sanallaştırma platformlarından biridir. Ancak, CVE-2024-37085 numaralı zafiyet, kötü niyetli aktörlerin Active Directory (AD) üzerinden kimlik doğrulama atlatma (authentication bypass) yapmalarına olanak tanımaktadır. Bu güvenlik açığı, bir saldırganın ilgili AD grubu ('ESXi Admins') silindikten sonra aynı grubun yeniden oluşturulması yoluyla tam erişim elde etmesine imkan sağlar.

Bu zafiyetin sömürülmesi için öncelikle bir Active Directory ortamında yeterli izinlere sahip olmak gerekmektedir. Hedef ESXi sunucusu, kullanıcı yönetimi için AD'yi kullanacak şekilde konfigüre edilmiştir. Zafiyetin etkili olabilmesi için aşağıdaki adımlar izlenebilir:

  1. Gerekli İzinlerin Sağlanması: Saldırganın öncelikle Active Directory’de gerekli izinlere sahip bir kullanıcı olması gerekmektedir. Örneğin, bir sistem yöneticisi ya da benzeri yetkilerle donatılmış bir hesap kullanarak AD'deki nesneler üzerinde değişiklik yapabilir.

  2. Hedef AD Grubunu Silmek: Hedef ESXi sunucusunun yönetimi için kullanılan 'ESXi Admins' grubunun silinmesi gerekir. Bu işlem genellikle basit bir AD yönetim arayüzü veya PowerShell komutları ile gerçekleştirilebilir. Örnek PowerShell komutu şu şekildedir:

   Remove-ADGroup -Identity "ESXi Admins" -Confirm:$false
  1. Grubun Yeniden Oluşturulması: Silinen grubun aynı isimle yeniden oluşturulması gerekmektedir. Bu, AD yönetim araçları kullanılarak veya PowerShell ile yapılabilir. Örnek PowerShell komutu:
   New-ADGroup -Name "ESXi Admins" -GroupScope Global -Path "OU=YourOU,DC=yourdomain,DC=com"
  1. ESXi Host'a Erişim Sağlama: AD grubu yeniden oluşturulduktan sonra, grubun üyesi olan bir hesap ile ESXi host'a erişim sağlanabilir. Bu noktada, saldırganın, grubun bir üyesi olduğuna dair bir kimlik bilgisi (username ve password) elde etmiş olması gerekir. Erişim testlerini yapmak için aşağıdaki gibi bir HTTP isteği gönderilebilir:
   POST /login HTTP/1.1
   Host: esxi-host-ip
   Content-Type: application/x-www-form-urlencoded

   username=your_username&password=your_password
  1. Erişimin Doğrulanması: Erişimin sağlanmasının ardından, sunucu üzerindeki yetkiler tam anlamıyla kullanılabilir. Sunucunun yönetim arayüzüne erişim sağlandığında, sanal makineler üzerinde tam yetkiyle işlem yapma imkanı doğacaktır.

Bu adımlar, CVE-2024-37085 numaralı zafiyetin gerçek dünya senaryosunda nasıl sömürülebileceğine dair bir örnek sunmaktadır. Özellikle kurumsal ortamlarda AD kullanımı yaygın olduğundan, bu tür bir zafiyetin etkileri oldukça geniş kapsamlı olabilir. Bu nedenle, güvenlik ekiplerinin dikkatli olması ve zafiyetle ilgili yamaları uygulaması şarttır.

Sonuç olarak, zafiyeti etkili bir şekilde istismar edebilmek için öncelikle saldırganın AD üzerindeki yetkilerini artırması, ardından sunucuya erişmek için gerekli adımları dikkatle planlaması gerekecektir. Böylece kurumsal sistemlerde ciddi güvenlik açıkları yaratma potansiyeline sahip olabilecekleri unutulmamalıdır.

Forensics (Adli Bilişim) ve Log Analizi

VMware ESXi'deki CVE-2024-37085 açık noktası, bir siber güvenlik uzmanının dikkatini çekmesi gereken kritik bir güvenlik açığıdır. Bu zafiyet, Active Directory (AD) üzerinden kullanıcı yönetimi yapılandırılmış bir ESXi hostuna erişim sağlayan kötü niyetli bir aktörün, silinen 'ESXi Admins' gibi AD gruplarını yeniden oluşturmasıyla başlar. Eğer bu tür bir durum gerçekleşirse, saldırgan, ilgili ESXi sunucusuna tam erişim elde edebilir.

Bir siber güvenlik uzmanının bu tür bir saldırının izini sürmesi için log analizleri (log analysis) ve adli bilişim (forensics) araçlarını etkin şekilde kullanması gereklidir. Özellikle, SIEM (Security Information and Event Management) çözümlerinde ve diğer log dosyalarında dikkat edilmesi gereken belirli imzalar bulunmaktadır.

İlk olarak, access log (erişim kaydı) dosyalarını inceleyerek, kimlerin ve hangi zaman dilimlerinde ESXi sunucusuna giriş yaptığını tespit edebilirsiniz. Kötü niyetli bir aktör genellikle alışılmadık zaman dilimlerinde veya yetkisiz IP adreslerinden erişim sağlamaya çalışır. Buna ek olarak, başarılı ve başarısız giriş denemeleri arasındaki oranı kontrol etmek, bir şüpheli etkinlik algılamanın önemli bir parçasıdır.

Ayrıca, log dosyalarındaki kullanıcı kimliklerini (user IDs) ve yetki seviyelerini (privilege levels) kontrol etmek de kritik bir adımdır. Aniden yüksek yetkiye sahip kullanıcıların erişimlerinde bir artış gözlemlenirse, bu da bir saldırı belirtisi olabilir. Bu bağlamda, potansiyel authentication bypass (kimlik doğrulama atlma) girişimlerini belirlemek için, grupların ve rol bazlı erişimlerin yönetimini dikkatlice izlemek gerekir.

Log dosyalarında başka bir dikkat edilmesi gereken alan, kullanıcı gruplarının değişiklikleri ile ilgili kayıtlardır. Eğer bir grup silinmişse ve süre içinde yeniden oluşturulmuşsa, bu durum bir saldırının varlığını göstermektedir. Özellikle, esxi-admins gibi kritik grupların yeniden oluşturulmasını görmek, hemen bir alarm vermeli ve daha ileri soruşturma gerektirmektedir.

Kod seviyesinde de, bir saldırının tespitine yardımcı olacak bazı imzalar tanımlanabilir. Örneğin, bir grup oluşturma işlemi için kullanılan API çağrıları log dosyalarında detaylı şekilde incelenmelidir. Kötü niyetli bir aktör tarafından yapılan bir API çağrısı genellikle beklenmedik bir şekilde gerçekleşir ve bu tür olayları belirlemek için anormallik tespiti algoritmaları (anomaly detection algorithms) kullanılabilir.

{
  "event": "group_creation",
  "group_name": "ESXi Admins",
  "created_by": "malicious_user@example.com",
  "timestamp": "2024-01-15T12:34:56Z"
}

Yukarıdaki gibi anormal bir group_creation (grup oluşturma) kaydı, siber güvenlik uzmanına bir vakayı daha derinlemesine incelemesi gerektiğini bildirebilir.

Sonuç olarak, CVE-2024-37085 gibi bir saldırının tespit edilmesi, doğru log analizi araçlarının ve tekniklerinin kullanılmasına bağlıdır. Log dosyaları ve SIEM çözümleri, potansiyel tehditleri belirlemekte kritik bir rol oynamaktadır. Gelişmiş oturum kaydı, kullanıcı grubu değişiklikleri ve kimlik doğrulama süreçlerinin log kayıtlarında özenle incelenmesi, bu tür bir açığın istismarı durumunda olası zararı azaltabilir.

Savunma ve Sıkılaştırma (Hardening)

VMware ESXi, sanal altyapıları yönetmek için yaygın olarak kullanılan bir hipervizör olarak dikkat çekmekte. Ancak, CVE-2024-37085 olarak bilinen bir zafiyet sayesinde, kötü niyetli bir aktör, Active Directory (AD) üzerinde yeterli yetkilere sahip olduğunda, oturum açma yetkisini geçersiz kılabilir ve dolayısıyla ESXi sunucusuna tam erişim elde edebilir. Bu durum, özellikle AD ile kullanıcı yönetimi yapılandırılan ESXi sunucularında güvenlik açıklarına yol açabilir. Bu yazıda, bu zafiyetin nasıl kapatılacağı, alternatif firewall (WAF) kuralları ve kalıcı sıkılaştırma (hardening) önerileri üzerinde duracağız.

CVE-2024-37085 açığını kapatmanın en etkili yolu, Active Directory gruplarının yönetimini dikkatli bir şekilde yapmaktır. Eğer 'ESXi Admins' grubu silinirse, bu grubu yeniden oluşturarak saldırganın sunucuya erişim elde edebilmesi için gerekli AD ayarları tekrar sağlanmış olur. Dolayısıyla, bu grubun herhangi bir sebeple silinmesi durumunda hemen yeniden oluşturulması yerine, grubu silme işlemlerinin önceden bir onay sürecine tabi tutulması gerekmektedir. Bunun için, AD üzerinde bir yönetim protokolü oluşturulmalı ve grup silme işlemleri, yetkili kullanıcıların onayı ile gerçekleştirilmelidir.

Firewall (WAF) kurallarının revize edilmesi de bu açığı kapatmada önemli bir rol oynamaktadır. Örneğin, ESXi sunucularının sadece belirli IP aralıklarından ulaşılabilir olmasını sağlamak için WAF kuralları oluşturmak etkili bir önlem olacaktır. Aşağıdaki gibi bir firewall kuralı, yalnızca güvenilir IP’lerden gelen bağlantılara izin verecek şekilde yapılandırılabilir:

iptables -A INPUT -p tcp -s <trusted_ip_address> --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP

Bu kural, belirli IP adreslerinden gelen HTTPS (443) isteklerine izin verirken, diğer tüm istekleri otomatik olarak engeller.

Ayrıca, ESXi sunucusunun işletim sisteminde de kalıcı sıkılaştırma (hardening) önlemleri alınmalıdır. İlk olarak, ESXi'nin güncel sürümünü kullanmak, bilinen zafiyetlerin kapatılmasına yardımcı olacaktır. VMware, ESXi için güvenlik güncellemelerini düzenli olarak yayınladığından, bu güncellemelerin zamanında uygulanması büyük önem taşır. Ayrıca, yönetim erişiminin sadece belirli bir zaman aralığında ve belirli bir lokasyondan yapılabilmesi için bağlantı noktaları ve erişim saatleri sınırlaması getirmek de, olası bir saldırı riskini en aza indirecektir.

Son olarak, sistem üzerinde sürekli izleme yapmanız faydalı olacaktır. Güvenlik loglarını ve olaylarını düzenli olarak analiz etmek, sistemdeki anormal davranışları tespit etmenize yardımcı olur. Özellikle, başarılı ve başarısız girişim loglarını gözden geçirerek, yetkisiz erişim girişimlerini tespit edebilir ve bu doğrultuda gerekli önlemleri alabilirsiniz.

Sonuç olarak, CVE-2024-37085 açığı gibi zafiyetlere karşı, aktif müdahale ve proaktif önlemler almak, sanal altyapınızın güvenliği açısından hayati önem taşımaktadır. Gelişmiş bir güvenlik politikası, sıkı bir WAF yapılandırması ve sürekli izleme ile, bu tür tehditleri etkili bir şekilde yönetebilirsiniz.