vMware 5.x OpenSSL HeartBleed Açığı Hk.

Değerli arkadaşlar,

YS Belgeli firma sahiplerinin bir çoğu geçtiğimiz aylarda USOM (Ulusal Siber Olaylara Müdahale Merkezi) tarafından bilgilendirme maili almıştı. Bilgilendirme maili üzerinde OpenSSL HeartBleed açığı tespit edilen IP adres listeleri ve bu konuda alınabilecek aksiyonlara yönelik bilgilendirme yapılmıştı. Tabi müşteriler tarafından herhangi bir şikayet olmaksızın sistemin devam etmesi sebebiyle sanırım kimse dikkate almamıştı. Almak isteyenler de nasıl önlem alacağına dair fikir sahibi değildi.

Geçtiğimiz günlerde tarafımıza BTK tarafından konuya ilişkin yazılı teblig gelmesi sebebiyle durumun ciddi bir durum olabileceğini düşünüyorum. Gerekli önlemler tarafında çalışmalarımız, müşterilerle organize bir şekilde devam edecektir.

Gelen tebligattaki IP adreslerini kontrol ettiğimde hepsinin vMware ESXI 5.x versiyonlarında SSL'siz olarak kullanılan ve direk IP üzerinden erişilen sunucular olduğunu gördüm. Bu konuya ilişkin vMware de bir döküman yayınlamış bulunuyor. Zarar görmeden çözüme kavuşturmakta fayda var.

Çözülmeyen sistemlerde BTK tebliğinde şu bildiriler yer alıyor.
-OpenSSL Heartbleed Zaafiyeti : Bu güvenlik açığını suistimal eden saldırganlar, OpenSSL'in bazı sürümlerini kullanan sistemlerin belleğini okuyarak SSL için kullanılan sunucudaki kullanıcı adlarına, şifrelerine, ve gizli kriptografik anahtarlara ulaşabilmektedir. Kötü amaçlı kullanıcılar, ele geçirilen bu anahtarlar ile sistemdeki bütün iletişimi gözlemleyebilir ve sisteme daha fazla zarar verebilir.

Bu kamsamda BTK tebliğine göre müşteriler, ilgili açık hakkında bildirilmeli ve açığın kapatılması hususunda IP anonsu kesilmeksizin organize çalışma yürütülmelidir. Yapılan organizasyon sonrasında da BTK düzeltmeye ilişkin bilgi talep etmektedir.

vMware tarafından yayınlanan ilgili açığın kapatılmasına yönelik dökümanı paylaşıyorum. Konu hakkında daha geniş bilgisi olan arkadaşların da bilgilerini esirgememesini rica ederim.

vMware Dökümanı : https://kb.vmware.com/s/article/2076665

2014'deki açığı mı bildirmişler. Şaşırdım mı ?

Yanlış hatırlamıyorsam bende o dönem zer0day olarak bulunuyordu.. Yeni yeni public edildi doğru mu ?

USOM, wordpress sitelerdeki zararlı dosyaları bile "çok gizli" ibaresiyle evrakla tebliğ ediyor.

vmware 5.x çok eski bir sürüm.Zaten hala o sürümü bile bile kullanan varsa herşeyi göze almış demektir.

vMware 5.0 5.1 5.5 sürümlerini henüz web tarafına entegre olamamış kullanıcılar yaygın bir şekilde kullanıyor. Hatta veri merkezindeki sunucuların çok büyük bir çoğunluğunun 5.x sürümlerinde olduğunu söylemek yanlış olmaz. Hatta yakın dönemde aynı bildiriden dolayı forumda da bulunan hatırı sayılır bir kaç firma sahibiyle ayak üzeri sohbetlerimiz olmuştu. Yarın öbür gün hukuki sıkıntılar yaşamamak için herkesin ciddiye almasında fayda var. Tabi ki mümkünatı olanlar 5.x versiyonlarını kullanmasın ancak halihazırda yıllar önce kurulup da hala devam eden sistemler mevcut. Onlar için update veya ilgili açığın kapatılması hususunda bilgilendirme şart.

az önce bizede aynı evraktan ulaştı aman çok GİZLİ
esxi ssh üzerinden birkaç komutla açık yamalanabiliyor.5.0 ve 5.5 kullananlara önerimiz openssl sürümünü güncellesinler.Yalnız işlem sonunda sunucuyu reboot etmeniz gerekiyor.

İlgili sayfada etkilenen OpenSSL sürümleri ve sürüm kontrolünün nasıl yapılacağı aktarılmış, 5.x kullanan arkadaşların işine yarayacaktır.

http://pipe2text.com/?page_id=3008

Sorunu düzeltmek için aşağıdaki makaleden de yararlanabilirsiniz

http://www.tayfundeger.com/upgrade-e...xi-5-5-u2.html
not bu makalede işlem sonunda reboot atılması gerektiğini yazmamışlar sadece.