Son günlerde özellikle veri merkezleri zorlu bir süreç yaşıyor. VMware tarafından sanal bilgisayarların yönetimi ve dağıtımı için geliştirilen sanallaştırma çözümü VMware ESXi’de tespit edilen açık nedeniyle dünya genelinde birçok sunucuya saldırı gerçekleştirildi.

Soğuk terler döktüren bu olayın hem iyi hem de kötü tarafı bulunuyor. Sunuculara fidye yazılımı yüklemek için kullanılan bu uzaktan kod yürütme açığı iki yıl önce tespit edildi. Yani sorundan etkilenen sunucular bu güvenlik açığı için yayınlanan yamanın yüklenmediği cihazlar.

Güvenlik açığı olan VMware ESXi sunucularına saldırı!

Saldırının kurbanı olan sunucu sahipleri, forumlarda açtıkları konularda hem yardım istedi hem de saldırının detaylarını paylaştı. Söz konusu fidye yazılımı, sızdığı ESXi suncularında vmxf, .vmx, .vmdk, .vmsd ve .nvram uzantılı dosyaları şifreliyor.

Dün Vmware sanallasirma yazilimi kullanan sunucularda 2 yil once ortaya cikmis guvenlik acigi uzerinden dunya genelinde fidye yazilim saldirilari duzenlendi. Acik 2 yil once cikmis! Etkilenen arkadaslara gecmis olsun. Lisanssiz yazilim kullanimi bu durumu daha da kotulestirdi…

— Selcuk SARAC (@Selcuk_SARAC) February 4, 2023

Bazı kullanıcılar verilerinin çalındığını iddia ederken, saldırıdan etkilenen bir kullanıcı BleepingComputer forumlarında olayın böyle olmadığını dile getirdi;

“Araştırmamız, verilerin sızmadığını belirledi. Bizim durumumuzda, saldırıya uğrayan makinede 500 GB’ın üzerinde veri vardı, ancak tipik günlük kullanım yalnızca 2 Mbps seviyesindeydi. Son 90 günün trafik istatistiklerini inceledik ve giden veriye dair hiçbir kanıt bulamadık.”

Bunların yanı sıra fidye yazılımının bulaştığı sunucularda “ransom.html” ve “How to Restore Your Files.html” adlı dosyalar görüldü.