Ada Kerentanan Parah, Pelanggan VMware Disarankan Segera Instal Pembaruan
VMware | Foto: recode.net
Cyberthreat.id – Perusahaan komputasi awan dan teknologi virtualisasi, VMware, mengatasi dua kerentanan keamanan di perangkat lunak vCenter Server dan Cloud Foundation.
Kerentanan tersebut dapat disalahgunakan oleh penyerang jarak jauh untuk mendapatkan akses ke informasi sensitif, kata perusahaan dalam nasihat keamanan yang diterbitkan Selasa (23 November 2021).
Masalah yang memiliki tingkat keparahan tinggi menyangkut kerentanan pembacaan file sewenang-wenang (arbitrer) di vSphere Web Client. Kerentanan yang dilabeli CVE-2021-21980 tersebut mempengaruhi server vCenter versi 6.5 dan 6.7.
“Peretas jahat yang mengakses jaringan ke port 443 di vCenter Server dapat mengeksploitasi kerentanan untuk mendapatkan akses ke informasi sensitif,” kata perusahaan dikutip dari The Hacker News, diakses Kamis (25 November 2021).
Sementara kerentanan kedua yang diperbaiki oleh VMware berkaitan dengan SSRF (Server-Side Request Forgery) di plug-in Virtual Storatge Area Network (vSAN) Web Client yang dapat memungkinkan peretas jahat dengan akses jaringan ke port 443 di Server vCenter mengeksploitasi bug dengan mengakses layanan internal atau permintaan URL di luar server.
VMware dalam laporannya menyebut magiczero dari SGLAB of Legendsec di Qi'anxin Group sebagai penemu dan pelapor kerentanan.
Serangan SSRF adalah jenis kerentanan keamanan web yang memungkinkan musuh untuk membaca atau memodifikasi sumber daya internal yang dapat diakses oleh server target dengan mengirimkan permintaan HTTP yang dibuat secara khusus, yang mengakibatkan pengungkapan informasi yang tidak sah.
Risiko yang timbul dari serangan SSRF sangat serius dan tersebar luas sehingga mereka berhasil masuk ke daftar Open Web Application Security Project (OWASP) dari 10 risiko keamanan aplikasi web Teratas untuk tahun 2021.
Sebagai penyedia teknologi virtualisasi yang kini banyak digunakan di berbagai perusahaan, tidak mengherankan produk VMware menjadi target yang menguntungkan bagi peretas jahat. Untuk mengurangi risiko peretasan sebaiknya perusahaan segera menginstal pembaruan yang diperlukan.[]
