Geçtiğimiz yıl yayınlanan güvenlik açığı olmasına rağmen güvenlik güncelleştirmelerini gerçekleştirmeyen kurumların eksiklerinden faydalanarak tekrar hortlayan bu güvenlik açığı için hızlıca karar alıp bir an önce aksiyon almanızı tavsiye ediyorum. Çeşitli yerlerden gelen bilgilere göre yoğun bir şekilde Openslp 427 port üzerinden esxi hostlara çok fazla ataklar görülmektedir. Esxi hostlarınız aşağıdaki versiyonların altındaysa muhakkak ilk change bu işi getirin.
CVE-2021-21974 aşağıdaki sistemleri etkiler:
- ESXi70U1c-17325551’den önceki ESXi sürümleri 7.x
- ESXi670-202102401-SG’den önceki ESXi sürümleri 6.7.x
- ESXi650-202102101-SG’den önceki ESXi sürümleri 6.5.x
CVE-2021-21974 açığı, kötü niyetli birinin uzaktan sistemi ve verileri ele geçirmesine neden olabilir. Açık, bir saldırganın uygulama sunucusuna erişerek yetkisiz erişim, veri hırsızlığı veya uygulamaların bozulması gibi zararlı etkiler bırakabilir. Açık, aynı zamanda sistemdeki diğer güvenlik önlemlerini atlatmasına da sağlayabilir. CVE-2021-21974 VMware bu açığı 2021 yılında keşfetdip gerekli güncellemeleri yayınlamıştı. Konuyla alakalı 27 şubatta böyle bir içerik yazmıştım.
OpenSLP (Service Location Protocol) protokolünden yararlanarak sisteme erişimi sağlamaya çalışan bir attacker tarafından kullanılabilir. Atak yapanlar, yönlendirme tabanlı atakları kullanarak sisteme erişebilir ve kötü amaçlı bir yazılım yükleyebilir. Bu ataklar, 427 numaralı SLP portu üzerinden gerçekleştirilir.Saldırı, görünüşe göre OpenSLP port (427) aracılığıyla, öncelikle 7.0 U3i’den önceki sürümdeki ESXi sunucularını hedefliyor.
OpenSLP ‘yi devre dışı bırakmak için : https://kb.vmware.com/s/article/76372
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
