Ribuan Server Vmware Rentan Hacker Aktif Berburu Peluang
VMware sebagai software virtualisasi digunakan untuk membuat virtual machine. Nama VMware diambil dari nama perusahaan pembuat software tersebut yaitu VMware, Inc. VMware memungkinkan untuk membuat virtualisasi server, komputer, sistem operasi, storage device, aplikasi, networks, dan sebagainya.
Di area penggunaan sehari-hari, virtualisasi VMware bisa dimanfaatkan untuk menjalankan sistem operasi di dalam sistem operasi, misalnya menjalankan Linux di dalam Windows dan sebaliknya. Selain untuk keperluan testing, ujicoba OS, kita juga bisa memanfaatkannya untuk membuat sistem yang terisolasi dan tidak merusak sistem utama meskipun sistem di virtual machine tersebut dioprek sesuka hati.
Dengan semakin menjamurnya virtualisasi di dunia siber, tidak ayal teknologi ini tak luput dari perhatian para penjahat dunia maya, lebih dari 6.700 server VMware vCenter saat ini terpapar online dan rentan terhadap serangan baru yang memungkinkan peretas mengambil alih perangkat yang belum ditambal dan secara efektif mengambil alih seluruh jaringan perusahaan.
Pemindaian untuk perangkat VMware vCenter saat ini sedang dilakukan, Pemindaian telah dimulai hari ini setelah seorang peneliti keamanan China menerbitkan kode bukti konsep di blog mereka untuk kerentanan yang dilacak sebagai CVE-2021-21972.
Kerentanan ini memengaruhi vSphere Client (HTML5), sebuah plugin VMware vCenter, jenis server yang biasanya digunakan di dalam jaringan perusahaan besar sebagai utilitas manajemen terpusat yang digunakan personel TI untuk mengelola produk VMware yang dipasang di workstation lokal.
Tahun lalu, diketahui bahwa peretas dapat menargetkan antarmuka HTTPS dari plugin vCenter ini dan mengeksekusi kode berbahaya dengan hak istimewa yang lebih tinggi pada perangkat tanpa harus melakukan otentikasi.
Karena peran sentral server vCenter di dalam jaringan perusahaan, masalah ini diklasifikasikan sebagai sangat kritis dan dilaporkan secara pribadi ke VMware, yang merilis patch resmi kemarin, pada 23 Februari 2021.
Karena banyaknya perusahaan yang menjalankan perangkat lunak vCenter di jaringan mereka, masalah ini pada awalnya ingin dirahasiakan terutama detail tentang bug ini hingga administrator sistem memiliki cukup waktu untuk menguji dan menerapkan tambalan.
Namun, kode bukti konsep yang diposting oleh peneliti China, dan lainnya, secara efektif menolak masa tenggang perusahaan untuk menerapkan tambalan dan juga memulai pemindaian massal gratis untuk semua sistem vCenter yang rentan yang dibiarkan terhubung secara online.
Lebih buruk lagi, exploit untuk bug ini juga merupakan permintaan cURL satu baris, yang memudahkan bahkan aktor ancaman berketerampilan rendah untuk mengotomatiskan serangan.
Lebih dari 6.700 server VMware vCenter saat ini terhubung ke internet. Semua sistem ini sekarang rentan terhadap serangan pengambilalihan jika administrator gagal menerapkan tambalan CVE-2021-21972 kemarin.
VMware telah menanggapi bug ini dengan sangat serius dan telah menetapkan skor keparahan 9,8 dari maksimal 10 dan sekarang mendesak pelanggan untuk memperbarui sistem mereka sesegera mungkin.
Karena peran penting dan sentral yang dimainkan oleh server VMware vCenter di jaringan perusahaan, kompromi perangkat ini dapat memungkinkan peretas mengakses sistem apa pun yang terhubung atau dikelola melalui server pusat.
Ini adalah jenis perangkat yang ingin dikompromikan oleh aktor yang dikenal sebagai “broker akses jaringan dan kemudian dijual di forum kejahatan dunia maya bawah tanah kepada geng ransomware, yang kemudian mengenkripsi file korban dan meminta tebusan dalam jumlah besar.
Selain itu, geng ransomware seperti Darkside dan RansomExx sudah mulai mengejar sistem VMware tahun lalu, menunjukkan seberapa efektif penargetan jaringan perusahaan berbasis VM ini.
