#alpcanaydiner
Ana Sayfa Hizmetlerim Ekipmanlar Projelerim Referanslarım Dilekçeler SSS Hakkımda Blog İletişim
Alpcan Aydiner

CISA Uyardı: VMware ESXi 0-Day Açığı Fidye Yazılımı Saldırılarını Tetikliyor!

CISA Uyardı: VMware ESXi 0-Day Açığı Fidye Yazılımı Saldırılarını Tetikliyor!

Siber güvenlik dünyası, sanallaştırma devlerinden biri olan VMware cephesinden gelen kritik bir haberle sarsıldı. CISA (Cybersecurity and Infrastructure Security Agency), fidye yazılımı gruplarının VMware ESXi üzerinde bulunan ve CVE-2025-22225 koduyla tanımlanan "sandbox escape" (kum havuzundan kaçış) açığını aktif olarak istismar ettiğini resmen doğruladı.

Peki, bu açık sistemleriniz için ne anlama geliyor ve acil olarak hangi önlemleri almalısınız? İşte detaylar.

CVE-2025-22225 Nedir? Neden Bu Kadar Tehlikeli?

CVE-2025-22225, VMware ESXi platformunda tespit edilen yüksek önem dereceli bir keyfi bellek yazma (arbitrary write) açığıdır. 8.2 CVSS skoru ile "Important" (Önemli) seviyesinde sınıflandırılan bu zafiyet, saldırganlara sanal makinelerin izolasyon sınırlarını aşma imkanı tanıyor.

Saldırı Nasıl Gerçekleşiyor?

Normal şartlarda bir sanal makine (VM), kendi izole alanında çalışır ve ana sisteme (hipervizör) erişemez. Ancak bu açık sayesinde:

  1. VMX sürecinde yetki kazanan bir saldırgan, çekirdek (kernel) seviyesinde bellek yazma işlemi tetikliyor.
  2. Saldırgan, sanal makinenin dışına çıkarak (Sandbox Escape) doğrudan hipervizör kontrolünü ele geçiriyor.
  3. Kontrolü ele geçiren fidye yazılımı grupları, tüm altyapıdaki sanal makineleri şifreleyerek sistemleri kullanılmaz hale getiriyor.
Kritik Not: Bu açık, sadece tek bir sanal makineyi değil, o hipervizör üzerinde çalışan tüm sunucuları ve verileri doğrudan tehdit etmektedir.

Fidye Yazılımı Gruplarının Yeni Gözdesi: ESXi

Fidye yazılımı operasyonları yürüten gruplar, artık bireysel kullanıcılar yerine doğrudan ESXi hostlarını hedef alıyor. Bunun temel sebebi, tek bir başarılı sızma ile onlarca sunucuyu aynı anda devre dışı bırakabilmeleridir. Broadcom tarafından Mart 2025’te yamalanmış olmasına rağmen, güncellenmeyen sistemler şu an aktif saldırı altında.

Sistemlerinizi Nasıl Koruyabilirsiniz?

CISA’nın uyarısı, bu açığın "Bilinen İstismar Edilen Zafiyetler" (KEV) kataloğuna eklendiği anlamına geliyor. Kurumsal güvenliğinizi sağlamak için şu adımları izlemelisiniz:

  • Hemen Güncelleyin: Broadcom tarafından yayınlanan en güncel VMware ESXi yamalarını vakit kaybetmeden uygulayın.
  • Yetki Yönetimini Gözden Geçirin: VMX süreçlerine erişimi olan kullanıcı ve servislerin yetkilerini "en az ayrıcalık" (least privilege) prensibiyle kısıtlayın.
  • Log İzleme: Hipervizör seviyesindeki olağandışı hareketleri ve bellek manipülasyonlarını tespit etmek için SIEM çözümlerinizi optimize edin.
  • İzolasyonu Kontrol Edin: Kritik sanal makinelerin yönetim ağlarından fiziksel veya mantıksal olarak izole edildiğinden emin olun.


CVE-2025-22225, yamalanmadığı takdirde kurumsal veri merkezleri için tam bir felaket senaryosuna dönüşebilir. Siber saldırganların "sıfır gün" (0-day) açıklarını ne kadar hızlı silaha dönüştürdüğünü düşünürsek, yama yönetiminin (patch management) bir tercih değil, zorunluluk olduğu bir kez daha kanıtlanmış oldu.

Siz sistemlerinizi güncellediniz mi? Eğer hala eski bir VMware sürümü kullanıyorsanız, fidye yazılımı saldırılarına karşı açık kapı bırakıyor olabilirsiniz.


Teknik Yama Analizi ve daha detaylı bilgiye https://alpcan.net.tr/cisa-uyardi-vmware-esxi-0-day-acigi-fidye-yazilimi-saldirilarini-tetikliyor/ blog sayfamızdan ulaşabilirsiniz.

Blog'a Dön