Bildiğiniz üzere son zamanlarda bir kaç firma da güvenlik açıklarından dolayı veri kaybı yaşandı.
Ortada konuşulan konular hep AutoVM framework kaynaklı bir güvenlik açığı.
Ancak benzer durumdan dolayı mağduriyet yaşayan bir tanıdığımızın firması olayların başladığından itibaren AutoVM sunucusunu kapatarak tüm işlemleri manuel gerçekleştiriyordu. Üstelik tüm sunucuları güncel vSphere 7.x sürümünü kullanıyordu.
Şuanda ülkemizde bulunan firmaların %90 ı sanallaştırma olarak VMware kullandığını varsayarsak yaşanan durumların temel sebebi VMware mi AutoVM mi şeklinde tereddütte kalıyorlar.
Bu hususlarda VMware tarafında büyük bir güvenlik açığı söz konusumu ? Sorunun kaynağı AutoVM olup VMware güvenli diyebilirmiyiz.
VMware tarafında erişim kısıtlaması yeterli kalıyor mu ?
Bu konu altında tecrübe etmiş ya da bilgili arkadaşların yorumlarını bekliyorum.
Güvenlik açığı VMware mi AutoVM mi ?
11
●1.160
- 16-05-2022, 15:46:03Autovm kullanmadığım halde bazı sanal makinalarımda scriptler eklenip coin kazıyordu.
sonrasına kendi kendine oluşan sanal sunucuda yaşadım kısacası.
fkaya adlı üyeden alıntı: mesajı görüntüle - 16-05-2022, 15:53:39
Merhabalar,
Kimse açık %100 şurdan diyemiyor, o yüzden burada alınabilecek tek önlem, VMWare ESXi sunucuları dışarıya kapatıp local bağlantılara açmak mantıklı olacaktır, çünkü biz o şekilde kullanıyoruz.
Kendi VPN sunucularımız üzerinden bağlantı sağlanıyor bir tek.
eniyisunucum.com - 16-05-2022, 15:54:00 Merhabalar, AutoVM'de ki açık ile vmwarelere ulaşmak gerçekten zor. İmkansıza yakın. Genel olarak hacklenen sunucular vcenter kaynaklı diye düşünüyorum. Bir çok firma bunun bir prestij kaybı olacağını düşündüğü için başka başka sebepler sunuyorlar. Ancak çoğunluğu hacklendi maalesef ki.
Firmalar her ne kadar yerel ip adresi, dışarıya kapalı vs deseler de bir çok firmanın dhcp açarak yerel ip verdiğini biliyorum veya aynı switch üzerinden hem wan hem lan verenlerde var. Böylece VDS'ler den de erişim yapılabilir demektir.
İmkanı olan firmaların mümkünse çift switch kullanmaları wan ve lan yapısını tamamen birbirinden ayırmaları gerekiyor. Müşteriler, VDS'ler hiç bir şekilde vmware ve lan da ki sunuculara erişememeli.
İmkanı olmayanlar ise sanal olarak bir firewall cihazı kurup sunuculara erişimi oradan yönetmeliler. - 16-05-2022, 16:04:25Merhaba fkaya,fkaya adlı üyeden alıntı: mesajı görüntüle
VMware Vcenter
VMware Esxi
AutoVM
Güncelleme almamış, sürekli güncel olmayan her sistemde zaten güvenlik zafiyeti riski söz konusudur. Vcenter, esxi lerin patch leri takip edilmiyorsa, güncellenmiyorsa, AutoVM de detaylıca incelenip üreticisi / yazılımcısı tarafından sürekli geliştirilmiyor ise veya geliştirilip AutoVM sahipleri güncelleme yapmıyor iseler her zaman açık olasılığı gündeme gelecektir.
Ayrıca Esxi, Vcenter sahipleri Client access, web access erişimlerini kısıtlamıyor iseler bu da ayrıca bir zafiyet doğurabilir.
İyi çalışmalar. - 16-05-2022, 18:44:53vCenter kullanmayıp sadece ESXI ve AutoVM kullanan firma hacklendi.
Public IP'de barınıp vCenter tarafında yazılımsal firewall ile dışarıya kapalı olan firma hacklendi.
vCenter ve ESXI sunucuları local ağda olmasına rağmen hacklenen firma da varmış.
Hepsinin ortak yönü AutoVM gibi gözüküyor fakat duyduğuma göre AutoVM kullanmayıp hacklenen firma da varmış. Bir çok soru işareti var maalesef. - 16-05-2022, 22:40:15isolar digiboy.ir tarafından mı kullanıldı ?Ekiphost adlı üyeden alıntı: mesajı görüntüle
