Merhabalar,
9 Nisan 2020 tarihinde, VMware vCenter sunucu için, CVE-2020-3952 ile kodlanmış çok kritik dereceli bir güvenlik zafiyeti açıklandı. vCenter dizin hizmetini etkileyen bu zafiyet istismar edildiğinde, siber saldırganlar sanallaştırma altyapınıza erişim sağlayarak tüm altyapınızı görür hale gelmekteler. Kullanıcı kimlik doğrulamasını gerçekleştiren dizin hizmetlerindeki (vmdir) bu açığı hızlıca kapatmanız gerekmektedir. VMware, bu sorunun ciddiyetini maksimum CVSSv3 temel puanı 10.0 olan Kritik önem aralığı içinde değerlendirmiştir.
Belki de upgrade zamanı gelmiştir…
Etkilenen dağıtımlarda vmdir hizmeti, ACL Legacy modunun etkin olduğunu belirten bir günlük girişi oluşturur. Eğer vCenter Appliance sunucunuzun loglarında ACL MODE: Legacy görüyorsanız, bu güvenlik açığını kapatmanız gerekmektedir. Loglara şu şekilde bakabilirsiniz:
İlgili log lokasyonu
Virtual Appliance için : /var/log/vmware/vmdird/vmdird-syslog.log
Windows sunucu için : %ALLUSERSPROFILE%\VMWare\vCenterServer\logs\vmdird\vmdir.log
vCenter Appliance sunucu için, şu şekilde komut satırından kontrol edebilirsiniz:
cat /var/log/vmware/vmdird/vmdird-syslog.log | grep ACL
NOT:
ACL MODE : Legacy yalnızca vmdir başlangıcında atılır, etkilenen dağıtımlarda bile günlük dosyası üzerine gelmesi nedeniyle bu girişin olmaması da mümkündür.
Zafiyet tanımı:
Etkilenen bir vmdir dağıtımına ağ erişimi olan kötü niyetli bir saldırgan, vCenter Server veya kimlik doğrulaması için vmdir’e bağımlı olan diğer hizmetlerin güvenliğini aşmak için kullanılabilecek oldukça hassas bilgileri ayıklayabilir.
Etkilenen sistemler:
Eğer 6.7u3f’den önceki vCenter Server 6.7 (embedded veya external PSC), 6.0 veya 6.5 gibi önceki bir versiyondan yükseltilmişse, CVE-2020-3952’den etkilenecektir.
Temiz vCenter Server 6.7 kurulumları (embedded veya external PSC), etkilenmez.
Çözüm:
- CVE-2020-3952 zafiyetini düzeltmek için, vCenter Server Appliance 6.7 Güncelleme 3f’yi uygulayabilirsiniz. APR 9 2020, Build 15976714.
- vCenter 7.0 versiyonuna geçebilirsiniz.
Daha fazla bilgi için VMware Security Advisories linkini buradan inceleyebilirsiniz.
vCenter sunucu versiyonları için de şu linki inceleyebilirsiniz.
Yararlı olması dileğiyle.
Yusuf İşleyen