VMware tarafından yayımlanan VMSA-2024-0012.1 güvenlik duyurusu, VMware vCenter Server ve VMware Cloud Foundation bileşenlerini etkileyen kritik güvenlik açıklarını ele almaktadır. Bu açıklar; uzaktan kod çalıştırma (RCE) ve yerel yetki yükseltme (Privilege Escalation) riskleri doğurmakta olup CVSS v3 skorları 7.8 ile 9.8 arasında değişmektedir.
Özellikle CVE-2024-37079 numaralı açığın aktif olarak istismar edildiğine dair saha (in-the-wild) bulgularının bulunması, bu güvenlik güncellemesini acil hâle getirmektedir.
Etkilenen Ürünler
Aşağıdaki VMware ürünleri bu güvenlik açıklarından etkilenmektedir:
- VMware vCenter Server 7.0
- VMware vCenter Server 8.0
- VMware Cloud Foundation 4.x
- VMware Cloud Foundation 5.x
Güvenlik Açıklarının Detayları
Heap-Overflow Açıkları (CVE-2024-37079, CVE-2024-37080)
Açıklama:
vCenter Server’da, DCERPC protokolü implementasyonu içerisinde birden fazla heap-overflow zafiyeti tespit edilmiştir. Bu açıklar, ağ üzerinden gönderilen özel olarak hazırlanmış paketler aracılığıyla tetiklenebilmektedir.
Etkisi:
- Yetkisiz uzaktan kod çalıştırma (Remote Code Execution)
- Sistem bütünlüğünün ve gizliliğinin ihlali
- vCenter Server’ın tamamen ele geçirilmesi
Saldırı Vektörü:
Ağa erişimi olan kötü niyetli bir aktör, kimlik doğrulama gerektirmeden bu açıkları istismar edebilir.
Önemli Not:
Broadcom, CVE-2024-37079 açığının gerçek ortamlarda istismar edildiğine dair kanıtlar bulunduğunu açıklamıştır.
CVSS Skoru:
- CVE-2024-37079 → 9.8 (Critical)
- CVE-2024-37080 → 9.8 (Critical)
Çözüm:
İlgili vCenter Server sürümleri için VMware tarafından yayımlanan resmî güncellemelerin uygulanması gerekmektedir.
Geçici Çözüm (Workaround):
Yoktur. VMware, ürün içi herhangi bir geçici çözümün uygulanabilir olmadığını belirtmiştir.
Yerel Yetki Yükseltme Açığı (CVE-2024-37081)
Açıklama:
Bu açık, vCenter Server Appliance üzerinde sudo yapılandırma hatalarından kaynaklanmaktadır.
Etkisi:
Yetkili ancak non-admin bir yerel kullanıcı, bu açığı kullanarak root yetkilerine yükselebilir.
Saldırı Vektörü:
Yerel erişimi ve geçerli kimlik bilgileri olan kullanıcılar.
CVSS Skoru:
- CVE-2024-37081 → 7.8 (Important)
Çözüm:
VMware tarafından belirtilen Fixed Version sürümlerine güncelleme yapılmalıdır.
Geçici Çözüm:
Yoktur.
Düzeltme (Fixed Version) Matrisi – Özet
| Ürün | Sürüm | CVE’ler | Severity | Düzeltme |
|---|---|---|---|---|
| vCenter Server | 8.0 | 37079, 37080, 37081 | Critical | 8.0 U2d |
| vCenter Server | 8.0 | 37079, 37080 | Critical | 8.0 U1e |
| vCenter Server | 7.0 | 37079, 37080, 37081 | Critical | 7.0 U3r |
| Cloud Foundation | 4.x / 5.x | Tümü | Critical | KB88287 |
Risk Değerlendirmesi
vCenter Server, sanallaştırma altyapısının merkezi yönetim bileşeni olduğu için bu seviyedeki açıklar;
- Tüm ESXi host’ların,
- Sanal makinelerin,
- Ağ ve depolama yapılandırmalarının
tamamının riske girmesine neden olabilir. Bu nedenle yama gecikmesi, yalnızca bir sistem değil, tüm veri merkezinin güvenliğini tehlikeye atar.
Önerilen Aksiyonlar
- Derhal sürüm tespiti yapın (vCenter build numarası).
- Ortamınıza uygun Fixed Version güncellemesini planlayın.
- Güncelleme öncesi:
- vCenter snapshot / backup alın
- Değişiklik penceresi oluşturun
- Güncelleme sonrası:
- Servis kontrollerini yapın
- Güvenlik loglarını izleyin
VMSA-2024-0012, son yıllarda VMware ekosisteminde yayımlanan en kritik güvenlik duyurularından biri olarak değerlendirilmektedir. Özellikle aktif istismar bilgisinin bulunması, bu açığın ertelenmeden ele alınmasını zorunlu kılmaktadır.
Kurumsal altyapı güvenliği açısından, ilgili yamaların uygulanması opsiyonel değil, zorunludur.