Siber güvenlik dünyası, sanallaştırma devlerinden biri olan VMware cephesinden gelen kritik bir haberle sarsıldı. CISA (Cybersecurity and Infrastructure Security Agency), fidye yazılımı gruplarının VMware ESXi üzerinde bulunan ve CVE-2025-22225 koduyla tanımlanan “sandbox escape” (kum havuzundan kaçış) açığını aktif olarak istismar ettiğini resmen doğruladı.

Peki, bu açık sistemleriniz için ne anlama geliyor ve acil olarak hangi önlemleri almalısınız? İşte detaylar.

CVE-2025-22225 Nedir? Neden Bu Kadar Tehlikeli?

CVE-2025-22225, VMware ESXi platformunda tespit edilen yüksek önem dereceli bir keyfi bellek yazma (arbitrary write) açığıdır. 8.2 CVSS skoru ile “Important” (Önemli) seviyesinde sınıflandırılan bu zafiyet, saldırganlara sanal makinelerin izolasyon sınırlarını aşma imkanı tanıyor.

Saldırı Nasıl Gerçekleşiyor?

Normal şartlarda bir sanal makine (VM), kendi izole alanında çalışır ve ana sisteme (hipervizör) erişemez. Ancak bu açık sayesinde:

  1. VMX sürecinde yetki kazanan bir saldırgan, çekirdek (kernel) seviyesinde bellek yazma işlemi tetikliyor.
  2. Saldırgan, sanal makinenin dışına çıkarak (Sandbox Escape) doğrudan hipervizör kontrolünü ele geçiriyor.
  3. Kontrolü ele geçiren fidye yazılımı grupları, tüm altyapıdaki sanal makineleri şifreleyerek sistemleri kullanılmaz hale getiriyor.

Kritik Not: Bu açık, sadece tek bir sanal makineyi değil, o hipervizör üzerinde çalışan tüm sunucuları ve verileri doğrudan tehdit etmektedir.

Fidye Yazılımı Gruplarının Yeni Gözdesi: ESXi

Fidye yazılımı operasyonları yürüten gruplar, artık bireysel kullanıcılar yerine doğrudan ESXi hostlarını hedef alıyor. Bunun temel sebebi, tek bir başarılı sızma ile onlarca sunucuyu aynı anda devre dışı bırakabilmeleridir. Broadcom tarafından Mart 2025’te yamalanmış olmasına rağmen, güncellenmeyen sistemler şu an aktif saldırı altında.

Sistemlerinizi Nasıl Koruyabilirsiniz?

CISA’nın uyarısı, bu açığın “Bilinen İstismar Edilen Zafiyetler” (KEV) kataloğuna eklendiği anlamına geliyor. Kurumsal güvenliğinizi sağlamak için şu adımları izlemelisiniz:

  • Hemen Güncelleyin: Broadcom tarafından yayınlanan en güncel VMware ESXi yamalarını vakit kaybetmeden uygulayın.
  • Yetki Yönetimini Gözden Geçirin: VMX süreçlerine erişimi olan kullanıcı ve servislerin yetkilerini “en az ayrıcalık” (least privilege) prensibiyle kısıtlayın.
  • Log İzleme: Hipervizör seviyesindeki olağandışı hareketleri ve bellek manipülasyonlarını tespit etmek için SIEM çözümlerinizi optimize edin.
  • İzolasyonu Kontrol Edin: Kritik sanal makinelerin yönetim ağlarından fiziksel veya mantıksal olarak izole edildiğinden emin olun.

CVE-2025-22225, yamalanmadığı takdirde kurumsal veri merkezleri için tam bir felaket senaryosuna dönüşebilir. Siber saldırganların “sıfır gün” (0-day) açıklarını ne kadar hızlı silaha dönüştürdüğünü düşünürsek, yama yönetiminin (patch management) bir tercih değil, zorunluluk olduğu bir kez daha kanıtlanmış oldu.

Siz sistemlerinizi güncellediniz mi? Eğer hala eski bir VMware sürümü kullanıyorsanız, fidye yazılımı saldırılarına karşı açık kapı bırakıyor olabilirsiniz.

Teknik Yama Analizi: CVE-2025-22225 (VMware ESXi)

Rapor Tarihi: 5 Şubat 2026

Zafiyet Tipi: Sandbox Escape / Arbitrary Memory Write

Etkilenen Bileşen: VMware ESXi (VMX Process)

Kritiklik Seviyesi: Önemli (CVSS 8.2)

1. Zafiyetin Teknik Analizi

CVE-2025-22225, VMware ESXi’nin sanal makine süreçlerini yöneten VMX (Virtual Machine Executable) sürecindeki bir bellek yönetim hatasından kaynaklanmaktadır.

  • Zafiyetin Kök Nedeni: Konuk işletim sistemi (Guest OS) üzerinden gönderilen belirli bir giriş/çıkış (I/O) isteğinin, hipervizör tarafında yeterli sınır kontrolüne (bounds checking) tabi tutulmamasıdır.
  • İstismar Mekanizması: Saldırgan, VMX sürecinin bellek alanında “keyfi yazma” (arbitrary write) tetikleyerek, program akışını değiştirir. Bu, saldırganın sanal makine izolasyonundan çıkıp ESXi Host üzerinde kod yürütmesine (RCE) olanak tanır.

2. Yama Öncesi ve Sonrası Fark Analizi

Broadcom tarafından yayınlanan güvenlik yaması incelendiğinde, kod seviyesinde şu değişikliklerin yapıldığı görülmektedir:

ÖzellikYama Öncesi DurumYama Sonrası Durum (Patch)
Bellek KontrolüBelirli bellek adreslerine sınır kontrolü yapılmadan veri yazılabiliyordu.Sıkılaştırılmış Bounds Checking mekanizması eklendi.
VMX İzolasyonuVMX süreci, çekirdek seviyesindeki bazı fonksiyonlara yetkisiz erişim sağlayabiliyordu.VMX süreci ile kernel arasındaki etkileşim katmanı (abstraction layer) daha güvenli hale getirildi.
Giriş DoğrulamaKonuk OS’tan gelen parametreler doğrudan işleniyordu.Gelen tüm veri paketleri için imza ve boyut doğrulaması zorunlu kılındı.

3. Saldırı Senaryosu (Kill Chain)

  1. Sızma: Saldırgan önce bir sanal makine üzerinde (web sunucusu vb.) düşük yetkili bir kullanıcı elde eder.
  2. Yetki Yükseltme: Sanal makine içinde yerel yetkilerini artırarak VMX sürecine müdahale edebilecek konuma gelir.
  3. Escape (Kaçış): CVE-2025-22225’i kullanarak sanal makine sınırlarını aşar ve ESXi Shell veya API seviyesine çıkar.
  4. Fidye Yazılımı Dağıtımı: Hipervizör üzerinde tam yetki (root) elde eden saldırgan, bağlı olan tüm sanal diskleri (.vmdk dosyaları) şifreler.

4. Uygulanması Gereken Acil Aksiyon Planı

A. Güncelleme (Patch Management)

İlgili sürümler için yayınlanan Mart 2025 (veya en güncel) yama setlerini uygulayın. Özellikle ESXi 7.x ve 8.x sürümleri için yayınlanan güvenlik bültenlerini takip edin.

B. Geçici Çözüm (Workaround) – Eğer hemen güncellenemiyorsa

Eğer sistemler üretim aşamasındaysa ve hemen yama yapılamıyorsa:

  • SSH Servisini Kapatın: ESXi hostları üzerindeki SSH servislerini devre dışı bırakın.
  • VNC ve Gereksiz Aygıtları Kaldırın: Sanal makineler üzerindeki gereksiz donanım emülasyonlarını (CD-ROM, Floppy, USB denetleyicileri) kaldırarak saldırı yüzeyini daraltın.
  • Host-Guest Bilgi Paylaşımını Kısıtlayın: isolation.tools.xxx parametrelerini “false” yaparak sanal makinenin host hakkında bilgi toplamasını engelleyin.

5. İzleme ve Tespit (Detection)

Güvenlik duvarı ve IDS/IPS sistemlerinizde şu anormallikleri takip edin:

  • ESXi host üzerinde beklenmedik sh veya python süreçleri.
  • VMX süreçlerinde ani ve aşırı bellek kullanımı artışları.
  • Yönetim portlarına (443, 902) gelen şüpheli paketler.