VMware OpenSLP Güvenlik Açığı Nasıl Engellenir?

2023 yılının Aralık ayında, VMware’nin OpenSLP (Service Location Protocol) kütüphanesinde birden fazla güvenlik açığı keşfedildi. Bu açıklar, uzaktan kod yürütme (RCE) saldırılarına izin vererek, saldırganların etkilenen ESXi sunucularını ele geçirmesine olanak tanır.

Etki Alanı

Bu güvenlik açıklarından etkilenen ESXi sürümleri şunlardır:

• ESXi 6.5 ve üzeri

Saldırı Yöntemi

Saldırganlar, bu güvenlik açıklarından yararlanarak, etkilenen ESXi sunucularına özel olarak hazırlanmış SLP paketleri göndererek RCE saldırıları gerçekleştirebilirler.

Korunma Yolları

VMware, bu güvenlik açıklarını gidermek için yamalar yayınlamıştır. Etkilenen sistemleri korumak için aşağıdaki adımları izleyebilirsiniz:

1. ESXi Sunucularınızı Güncelleyin:

VMware’den yayınlanan en son yamaları ESXi sunucularınıza yükleyin.

2. OpenSLP Hizmetini Devre Dışı Bırakın:

OpenSLP hizmetini kullanmıyorsanız, devre dışı bırakmanız önerilir. Bunu yapmak için aşağıdaki adımları izleyin:

• ESXi sunucuya SSH ile bağlanın.
• vim /etc/vmware/esx.conf komutunu kullanarak ESXi yapılandırma dosyasını açın.
• SLP.Enable satırını bulun ve değerini FALSE olarak değiştirin.
• Dosyayı kaydedip kapatın.
• ESXi sunucuyu yeniden başlatın.

3. Güvenlik Duvarı Kuralları Oluşturun:

UDP 427 ve TCP 427 portlarını gelen trafiğe kapatmak için güvenlik duvarı kuralları oluşturabilirsiniz.

4. Ağ İzleme Sistemi Kullanın:

Ağınızdaki şüpheli faaliyetleri izlemek için bir ağ izleme sistemi kullanın.

Ek Öneriler:

• ESXi sunucularınızın en son güvenlik güncellemelerine sahip olduğundan emin olun.
• Güçlü parolalar ve parola yönetimi ilkelerini kullanın.
• SSH erişimini yalnızca güvenilir IP adreslerine sınırlayın.
• Ağ segmentasyonu kullanarak kritik altyapınızı izole edin.

VMware OpenSLP Güvenlik Açığından Etkilenen Sunucu Nasıl Kurtarılır?

2023’ün Kasım ayında VMware OpenSLP servisinde kritik bir güvenlik açığı keşfedildi. Bu açık, saldırganların etkilenen sunucular üzerinde uzaktan kod çalıştırmasına (RCE) izin vererek tam kontrol ele geçirmelerine olanak tanır. Bu makalede, etkilenen sunucuları kurtarmak için adım adım bir rehber sunacağız.

Etkilenen sürümler:

• ESXi 6.5, 6.7 ve 7.0
• vCenter Server 6.5, 6.7 ve 7.0
• Workstation 15.x ve 16.x
• Fusion 12.x ve 13.x

Kurtarma adımları:

1. VMware’in resmi açıklamasını ve güncelleme notlarını inceleyin:
   • VMware KB 88236: https://kb.vmware.com/s/article/88236
   • VMware KB 88237: https://kb.vmware.com/s/article/88237
2. Sunucunuzun etkilenen sürümlerden biri olup olmadığını kontrol edin:
   • ESXi için: esxcli software vib list | grep open-vm-tools
   • vCenter Server için: vpxd_servicecfg -g | grep open-vm-tools
   • Workstation ve Fusion için: Yardım menüsünden “Hakkında” seçeneğine gidin ve OpenSLP sürümünü kontrol edin.
3. Etkilenmişse, VMware tarafından yayınlanan güncellemeyi yükleyin:
   • ESXi için: ESXi anahtarıyla interaktif modda veya komut satırıyla güncellemeyi yükleyin.
   • vCenter Server için: vCenter Server Appliance (VCSA) veya Windows Installer sürümü için güncellemeyi yükleyin.
   • Workstation ve Fusion için: Uygulamanın içinden veya VMware web sitesinden güncellemeyi yükleyin.
4. Ek önlemler:
   • Saldırı belirtileri için sunucu loglarınızı inceleyin.
   • Güvenlik duvarı kurallarınızı gözden geçirin ve OpenSLP servisine sadece yetkili erişime izin verin.
   • Antivirüs yazılımınızı güncelleyin ve tam bir sistem taraması gerçekleştirin.
   • Parolalarınızı sıfırlayın ve güçlü parolalar kullanın.

Notlar:

• Güncellemeyi yüklemeden önce sunucunuzun yedeğini almanız önerilir.
• Sorun yaşarsanız, VMware destek ekibiyle iletişime geçebilirsiniz.

Ek kaynaklar:

• VMware Güvenlik Danışmanlığı: https://www.vmware.com/security/advisories.html

Önemli:

Bu makaledeki bilgiler genel bir rehber olarak sunulmaktadır. Sunucunuzun özel konfigürasyonuna ve ihtiyaçlarına bağlı olarak ek adımlar gerekebilir. Herhangi bir işlem yapmadan önce lütfen VMware’in resmi belgelerini ve kaynaklarını inceleyin.