ESXi CVE-2021-21974 Saldırısı ve Önlemleri

Merhabalar,
Aşağıda ESXi CVE-2021-21974 açığı üzerinden bir bilgilendirme yazısı yayımladım.

Çeşitli Bilgi Güvenliği kanallarından edindiğimiz takiplere bakılırsa,
Son günlerde (özellikle bugün öğlenden sonra 04.02.2023) Türkiye’de bulunan birçok ESXi altyapısı güvenlik açıklarından faydalanılarak hacklenmektedir.
Fidye olarak 47.723$ aynı günde yatırılması isteniyor..

İlk yapılacak ön önlem siber güvenlik sitelerinde belirtilen bu saldırıları yapan İP adreslerini Güvenlik duvarından YASAKLAMAK.
Portları kontrol etmek, gerek olmayan tüm sunucularda portlarıda yasaklamak…

Saldırgan ip listesi:
104.152.52.55
193.163.125.138
43.130.10.173
104.152.52.0/24

Saldırılan port: 427

Bu sorun,
Sistemlerin açık olduğu
veya güncel olmayan güvenlik yaması kullanıldığı
durumlarda daha da artmaktadır.

Kurumunuz size yüzünü dönmüşse, verdiği ücretle belli olur,
Yok başkasına yüzünü dönmüşse, bırakın işi onlar yapsın.
Çekilin o makamı işgal etmek size ve kuruma zarardır.
Tabi ki kurumunuz sizi sistem yöneticisi olarak atamış, asgari ücretten iki kat fazlası ücret verirse 7/24 ilgilenme durumunuz olur.
Sistem güncelleme işleri deneyimli sistemciler için AKTİF ÇALIŞMA SAATLERİ dışında yapılır.
Yedek alınmadan da hiç çalışan sistem yapılandırılmaz ve güncellenmez.
Sadece mesai saatleri içerisinde çalışan sistemciden sistemci olmaz, çöküş yakındır.
Sizden mesai saatlerinde güncelleme yap diyen çalışan sistemlerin durması durumunda koşarak size gelecektir ve “BİZ (ya da SEN) BUNU NEDEN YAPTIK diyecektir.

Kullanılan zafiyet: CVE-2021-21974
Zafiyetten etkilenen #Esxi sürümleri:
ESXi versions 7.x – ESXi70U1c-17325551
ESXi versions 6.7.x – ESXi670-202102401-SG
ESXi versions 6.5.x – ESXi650-202102101-SG

Bu tip saldırılar, kullanılan sistemlerin önemli verilerinin veya
kişisel bilgilerin çalınmasına veya kullanılamaz hale getirilmesine sebebiyet vermektedir.

ESXi sistemlerinin hacklenmesi sonucu ortaya çıkan tehlikeli durumları önlemek için birçok tedbir alınabilir.
Bir kaç tanesine beraber bakalım:

Güncellemeler:
ESXi sistemlerini kullananlar, sistemlerinin sürekli olarak güncel tutulmasını ve güncellemelerin yapılmasını sağlamalıdır.
Bu, güvenlik açıklarının ortaya çıkmasını ve bu açıklardan faydalanılmasını önler.

Güvenli parolalar:
ESXi sistemlerine erişim için kullanılan parolalar güçlü ve benzersiz olmalıdır.
Ayrıca, bu parolalar sık sık değiştirilmelidir.

Güvenli bağlantı:
ESXi sistemlerinin internete bağlı olması durumunda,
sistemlere erişimi sınırlandırmak ve güvenli bir VPN bağlantısı kullanmak önemlidir.
VPN bağlantısı için oluşturulan kullanıcı bilgileri düzenli olarak değiştirilmelidir.

Eğer bir ESXi sistemi hacklenmişse, aşağıdaki adımlar takip edilmelidir:

Sistemi kapatın:
Hacklenen sistemi hemen kapatın!
ve olası zararlı yazılımların yayılmasını önleyin
ve ağ izolasyonunu gerçekleştirin.

Bilgileri yedekleyin:
Hacklenen sistemdeki tüm verileri ve dosyaları yedekleyin.

Uzman desteği alın:
Bu tip saldırıların profesyonel bir müdahale olmadan çözülmesi mümkün değildir.
Bir uzmana danışarak gerek şifrelenen verilerin çözümü,
gerek atılması gereken adımlar ile ilgili destek isteyin.

Sistemi yeniden yapılandırın:
Sistemi yeniden yapılandırarak
ve güncellemeler yaparak var olan güvenlik açıklarına karşı tedbir alın.

Unutmayın,
ESXi sistemlerinin güvenliği oldukça önemlidir ve sürekli olarak kontrol edilmelidir.
Eğer güvenliğinizi artırmak istiyorsanız veya bir saldırıya uğradıysanız,
bir uzmana danışmanız önerilir.
Uzmanlar, sistemi güvenli hale getirmenizi ve gelecekteki benzer saldırılardan korunmanızı sağlar!
Ayrıca,
güncelleme yapmadan önce yedekleme yapmanız ve bu yedeklemeleri sık sık kontrol etmeniz önemlidir.

Böylece,
eğer sistemde beklenmeyen bir veri kaybı veya siber saldırı durumunda verilerinizi kaybetme riski ortadan kalkar mı? bilinmez ama iyi olur.
Son olarak,
sistemi kullanırken dikkatli olun ve dikkatli bir şekilde yapılandırılmış güvenli bir ağ kullanın.
Bu, sistemi hacklenmesi durumunda zararlı yazılımların yayılmasını ve verilerinizin güvenliğini tehlikeye atılmasını önler.

Bu durumla ilgili üreticinin çözümlerini https://www.vmware.com/security/advisories/VMSA-2023-0003.html adresten inceleyebilirsiniz.

Bu saldırı aslında direk SANAL SUNUCU dosyalarına saldırı değildir, SANAL SUNUCU Ayarlarını bozduğu için sistem çalışmaz.
Yeni ayar dosyaları yapılandırıp SANAL SUNUCULARI yeniden bağlayarak sistem çalıştırılabilir hale getirilebilir…
Ama o başka bir yazının konusu olsun artık…

Mutlu ve Mavi ekransız günler dilerim.