Sanallaştırma teknolojileri modern BT altyapısının omurgasıdır. Ancak bu altyapıyı güçlü kılan esneklik, bazen ciddi güvenlik risklerini de beraberinde getirir.
2025 yılı bu konuda çarpıcı bir örnekle başladı: VMware ESX, vSphere, VMware Workstation ve VMware Fusion’ı etkileyen üç ayrı sıfır gün güvenlik açığı ortaya çıktı.
Bu açıklar, Broadcom’un 2023’te VMware’i satın almasının ardından 4 Mart 2025’te yayımlanan kritik bir güvenlik bülteniyle duyuruldu. Daha da dikkat çekici olan ise, bu üç açığın aynı anda birden fazla temel VMware ürününü etkilemesi. Siber güvenlik literatüründe bu kadar eş zamanlı ve farklı kategorilerde sıfır gün açığının görülmesi nadir bir durumdur.
Sıfır Gün Açığı Nedir ve Neden Önemlidir?
Sıfır gün (zero-day) güvenlik açığı, üretici tarafından henüz bilinmeyen veya yeni keşfedilmiş ve henüz yaması çıkmamış bir yazılım zafiyetidir. Bu tür açıklar, özellikle aktif olarak istismar ediliyorsa, savunma ekiplerine neredeyse sıfır hazırlık süresi tanır.
Bu olayda üç zafiyetin de ortak yönü şu:
- Uzak bağlantı üzerinden doğrudan istismar edilemiyorlar.
- Bir saldırganın önce hedef sanal makineye yerel erişim sağlaması gerekiyor.
- Çoğu senaryoda, saldırganın yetkilerini yönetici veya root seviyesine yükseltmesi şart.
Yani bunlar “ilk erişim” saldırıları değil, istismar sonrası teknikler. Fakat özellikle çok kiracılı (multi-tenant) bulut ortamlarında tehlike çarpan etkisiyle büyüyor. Tek bir sanal makineden kaçış, onlarca hatta yüzlerce başka sanal makineyi tehlikeye atabilir.
CVE-2025-22224 – TOCTOU ile Kritik VM Escape Potansiyeli
Etkilenen ürünler: ESX, Workstation 17.x
Açık türü: TOCTOU (Time-of-Check to Time-of-Use) yarığı
CVSS: Broadcom: 9,3 (Kritik) | NIST NVD: 8,2 (Yüksek)
Teknik açıklama:
TOCTOU hataları, sistem bir kaynağın durumunu (ör. dosya veya soket) kontrol ettikten sonra bu kaynağı kullanmadan önce geçen sürede, kaynağın durumunun değiştirilmesiyle oluşur. Bu aralık, saldırganın beklenmeyen manipülasyonlar yapmasına imkân verir.
Bu özel durumda, sanal makine içinde yerel yönetici yetkisine sahip bir saldırgan, VMX sürecinde kod çalıştırabilir. Bu, VM’nin güvenlik sınırlarını aşarak hipervizör seviyesinde kontrol sağlaması anlamına gelir.
Hipervizör kontrolü ise diğer sanal makineleri etkilemenin kapısını aralar.
CVSS puan farkı:
- Broadcom: Ayrıcalık gerekmediğini değerlendiriyor.
- NIST: Yüksek ayrıcalık gerektiğini belirtiyor.
Pratikte istismar için yerel yönetici yetkisi gereklidir.
CVE-2025-22225 – Çekirdeğe Keyfi Yazma
Etkilenen ürünler: ESX
Açık türü: Keyfi yazma (arbitrary write)
CVSS: Broadcom: 8,2 (Yüksek) | NIST: değerlendirme yok
Teknik açıklama:
VMX işlemi içindeki yetkili bir saldırgan, sistem belleğinde veya disk üzerinde herhangi bir konuma veri yazabilir. Bu yetenek:
- Ayrıcalık yükseltme
- Ana makinenin kontrolünü ele geçirme
- Diğer sanal makineleri manipüle etme
gibi riskler doğurur.
Broadcom bu açık için ayrıcalık gereksinimi olduğunu kabul ettiği için puan, 22224’e göre daha düşüktür.
CVE-2025-22226 – Bellek Sızıntısı ile Bilgi İfşası
Etkilenen ürünler: ESX, Workstation 17.x, Fusion 13.x
Açık türü: Out-of-Bounds Read
CVSS: Broadcom: 7,1 (Yüksek) | NIST: 6,0 (Orta)
Teknik açıklama:
HDFS bileşeninde sınır dışı okuma hatası, işlem belleğinin dışındaki verilerin okunmasına neden olur. Bu, kriptografik anahtarlar, şifreler ve hassas teknik bilgilerin açığa çıkmasına yol açabilir.
Burada hem Broadcom hem NIST, etkinin yalnızca gizlilik üzerinde olduğunu kabul eder. Bütünlük veya kullanılabilirlik doğrudan etkilenmediği için puan düşer.
Etkilenen ve Etkilenmeyen Ürünler
Etkilenenler:
- Tüm desteklenen ESX sürümleri
- vSphere, Telco Cloud Foundation, Telco Cloud Platform
- Workstation 17.x (CVE-2025-22224 ve 22226)
- Fusion 13.x (CVE-2025-22226)
Etkilenmeyenler:
- vCenter
- SDDC Manager
- NSX
- Aria Suite
CVSS Puan Farklarının Arkasındaki Sebepler
Puan farkları çoğunlukla şu iki faktörden kaynaklanıyor:
- Ayrıcalık gereksinimi (Privileges Required) değerlendirmesindeki farklılıklar
- Etkinin gizlilik, bütünlük, kullanılabilirlik üçlüsünden hangilerine dokunduğu
Broadcom’un puanları daha yüksek tutmasının olası nedenleri:
- Müşteri güvenini korumak
- Yamaların hızlı uygulanmasını teşvik etmek
- Aktif istismar altında açığı düşük göstermenin itibar riskini önlemek
Sanal Makine Kaçışı: Gerçek Senaryo
VM Escape, medyada bazen abartılı yansıtılsa da teknik olarak karmaşık bir süreçtir.
Gerekli adımlar:
- VM’ye ilk erişim sağlamak (kimlik avı, web uygulaması istismarı, çalıntı kimlik bilgileri vb.)
- Ayrıcalıkları yönetici/root seviyesine yükseltmek
- Hipervizörü etkileyecek zafiyeti istismar etmek
Bu zincir tamamlandığında, saldırgan yalnızca hedef VM’yi değil, aynı ana makinedeki tüm VM’leri tehlikeye atabilir.
Alınması Gereken Önlemler
1. Yamaları Uygulamak
- Bu açıkları kapatmanın tek kesin çözümü, VMware’in yayınladığı yamaları en kısa sürede uygulamak.
2. Güncelleme Mümkün Değilse
- Risk değerlendirmesi: Maruziyet seviyenizi, potansiyel etkileri ve mevcut savunma kontrollerinizi analiz edin.
- Gelişmiş izleme:
- Yönetici aktivitelerini ve özellikle olağan dışı saatlerdeki erişimleri takip edin.
- Beklenmedik sistem çökmeleri, bellek manipülasyonu belirtileri için uyarılar oluşturun.
- Erişim kontrolleri:
- Kullanılmayan yönetici hesaplarını kapatın.
- En az ayrıcalık prensibini uygulayın.
- MFA (çok faktörlü kimlik doğrulama) zorunlu hale getirin.
- Sistem hijyeni:
- Sistemlerin düzenli olarak yamalandığından emin olun.
- Antivirüs/EDR çözümlerinin imzaları güncel olmalı.
- Ağ segmentasyonu:
- VM kaçışını engellemese de yatay hareketi ciddi ölçüde sınırlar.
- Kritik sistemleri izole VLAN’larda tutun.
Bu üç sıfır gün açığı, özellikle çok kiracılı ortamlarda kritik riskler barındırıyor.
Yamalar hızlıca uygulanmalı, erişim yetkileri sıkılaştırılmalı, izleme sistemleri güçlendirilmeli ve ağ segmentasyonu gibi mimari önlemler alınmalı.
Sanallaştırma güvenliğinde katmanlı savunma (defense in depth) yaklaşımı, bu tür tehditlere karşı en etkili kalkan olmaya devam ediyor.
