Awas! Penjahat Siber Aktif Targetkan Kerentanan VMware
Logo VMware | Foto: cxoworldwide.com
Cyberthreat.id – Bad Packets, perusahaan keamanan siber asal Chicago, AS, menyarankan agar pengguna perangkat vCenter milik VMware, penyedia cloud computing AS, segera menginstal pembaruan keamanan.
Ini lantaran penjahat siber terdeteksi sedang aktif memindai peladen (server) vCenter yang memiliki kerentanan kritis belum ditambal.
Kerentanan kritis yang memungkinkan penyerang mengeksekusi kode jarak jauh (RCE) tersebut, menurut peneliti Bad Packetst, mempengaruhi semua versi vCenter.
Sebetulnya, VMware telah menyediakan pembaruan keamanannya pada 25 Mei lalu. (Baca: Pengguna Layanan Vmware Diminta Instal Pembaruan Keamanan, Ada Bug Kritis!)
Peneliti juga telah mengembangkan dan menerbitkan kode eksploitasi skema serangan RCE yang menargetkan kerentanan vCenter yang dilabeli sebagai CVE-2021-21985.
Pencarian mesin pencari Shodan menunjukkan ribuan peladen vCenter yang terhubung ke internet memiliki kerentanan tersebut, demikian dikutip dari BleepingComputer, diakses Minggu (6 Juni 2021).
Penyerang yang tidak diautentikasi dari jarak jauh dapat mengeksploitasi kelemahan keamanan dalam serangan dengan kompleksitas rendah, bahkan tanpa perlu interaksi pengguna.
Eksploitasi yang berhasil memungkinkan pelaku ancaman untuk mengambil alih seluruh jaringan organisasi karena tim TI dan admin menggunakan peladen vCenter untuk mengelola seluruh lingkungan perusahaan.
Peringatan ransomware
VMware juga memperingatkan pelanggan untuk segera menambal sistem karena khawatir kemungkinan serangan ransomware menargetkan vCenter.
Peringatan tersebut harus ditanggapi dengan serius karena kelemahan keamanan VMware yang sama kritisnya telah dieksploitasi di masa lalu untuk menyebarkan ransomware.
Beberapa geng ransomware, termasuk DarkSide, RansomExx, dan Babuk Locker telah mengeksploitasi kerentanan RCE pra-autentikasi VMWare ESXi untuk mengenkripsi hard disk virtual yang digunakan sebagai ruang penyimpanan perusahaan terpusat.
“Di era ransomware ini, paling aman untuk mengasumsikan bahwa penyerang sudah berada di dalam jaringan, di desktop, dan mungkin bahkan mengendalikan akun pengguna. Itulah sebabnya kami sangat menyarankan untuk mengumumkan perubahan darurat dan patch sesegera mungki,” tutur VMware.
Perusahaan juga menyediakan langkah-langkah solusi yang dirancang untuk menghapus vektor serangan dan kemungkinan eksploitasi dengan menyetel plug-in yang terpengaruh ke "tidak kompatibel" bagi mereka yang tidak dapat segera menerapkan pembaruan keamanan.
Pelanggan juga dapat menemukan praktik terbaik keamanan dasar untuk vSphere di Panduan Konfigurasi Keamanan vSphere, klik di sini. Atau, tanya jawab soal masalah ini di sini.[]
