Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Serangan ESXiArgs pada Server VMware 101
  • Ransomware
  • Sektor Bisnis

Serangan ESXiArgs pada Server VMware 101

6 min read
Serangan ESXiArgs pada Server VMware 101

Credit image: Pixabay

Serangan ransomware ESXiArgs pada server VMware 101 merupakan respons terhadap serangan global terhadap server VMware ESXi yang tidak ditambal dan tidak dilindungi dan menginfeksi puluhan ribu server VMware.

VMware merespons ancaman ini dan mengeluarkan pernyataan bagaimana menangani permasalahan tersebut, dan berikut pertanyaan yang sering ditanyakan dan jawabannya.

Siapa yang terpengaruh oleh ini?

Dampak utama tampaknya terjadi pada perusahaan yang menjalankan versi ESXi yang belum ditambal, di mana pelaku memiliki akses langsung ke antarmuka manajemen ESXi.

Kapan harus mengambil tindakan?

Perusahaan yang menjalankan versi perangkat lunak yang lebih lama dari rilis saat ini berisiko dan harus segera diperbarui ke versi terbaru.

Personel keamanan pelanggan harus membuat penilaian terhadap situasi yang lebih bernuansa; untuk bantuan dengan penilaian keamanan, silakan gunakan Layanan Profesional VMware.

Organisasi yang menempatkan antarmuka manajemen sistem infrastruktur TI mereka langsung di Internet harus mengambil langkah segera untuk memverifikasi filter dan kontrol keamanan tambahan di depan mereka, meninjau kontrol tersebut untuk keefektifan.

Baca juga: Mengurai Serangan Ransomware pada Server VMware 

Apakah masalah ini dieksploitasi dunia maya?

Ya.

CVE apa yang terlibat dalam serangan ini?

Tidak diketahui saat ini. Media telah berspekulasi tentang keterlibatan CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992, dan CVE-2019-5544 tetapi kemungkinan besar pelaku menggunakan kerentanan apa pun yang dapat diakses oleh mereka. VMware terus menyelidiki.

Apakah ini kerentanan pada produk VMware?

VMware yakin bahwa serangan ini memanfaatkan kerentanan yang ada pada produk VMware, yang telah diselesaikan melalui pembaruan.

Tampaknya ini bukan kerentanan baru. Namun, kami terus memantau situasi saat ini berkembang.

Produk apa yang terpengaruh?

VMware ESXi.

Tingkat tambalan apa yang diperlukan untuk menghindari masalah ini?

Tambalan terbaru untuk semua versi produk VMware utama yang didukung menyelesaikan semua kerentanan yang diungkapkan.

Perangkat lunak apa pun, dari VMware atau lainnya, yang diturunkan dari versi rilis saat ini dapat menimbulkan risiko keamanan. Tingkatkan lingkungan ke rilis terbaru yang didukung.

Apakah ESXi build mengatasi masalah ini?

Rilis produk tertentu dapat menyelesaikan masalah tertentu, tetapi masih mengandung kerentanan lainnya.

Tingkatkan lingkungan ke rilis terbaru yang didukung untuk menyelesaikan semua kerentanan yang diungkapkan.

Apakah akan ada tambalan ke vSphere 6.0, 6.5, dan 6.7 untuk mengatasi masalah ini?

Versi vSphere 6.x berada di luar masa pakai yang didukung dan tidak lagi diperbarui. Selain itu, ransomware bukanlah sesuatu yang langsung Anda tambal.

Malware jenis ini biasanya merupakan toolkit yang mengeksploitasi kerentanan lain. Kerentanan yang tampaknya digunakan oleh ESXiArgs sudah memiliki tambalan.

Apakah ada solusi yang tersedia untuk masalah ini?

Rekomendasi umum VMware untuk pelanggan yang ingin meningkatkan keamanan adalah:

  • Jalankan versi perangkat lunak VMware yang didukung.
  • Tetap perbarui rilis terbaru perangkat lunak VMware, dengan cepat.
  • Gunakan Panduan Konfigurasi Keamanan vSphere untuk memperkuat lingkungan.
  • Kontrol ketat akses ke antarmuka manajemen infrastruktur TI (tidak hanya vSphere).
  • Gunakan autentikasi multifaktor dan praktik otorisasi yang baik.
  • Berlangganan ke milis VMware Security Advisory untuk pemberitahuan masalah secara proaktif.

Perusahaan yang menempatkan antarmuka manajemen sistem infrastruktur TI mereka langsung di Internet harus mengambil langkah segera untuk memverifikasi filter dan kontrol keamanan tambahan di depan mereka, meninjau kontrol tersebut untuk keefektifan.

Keamanan sangat bergantung pada konteks, dan VMware tidak dapat memberikan saran tanpa mengetahui lebih banyak tentang lingkungan dan bisnis pelanggan. Untuk tingkat bantuan ini, silakan gunakan Layanan Profesional VMware.

Baca juga: Ribuan Server VMware Rentan Hacker Aktif Berburu Peluang

Mengapa VMware tidak merilis security advisory tentang ini?

Serangan ini tidak mengeksploitasi kerentanan baru, jadi tidak ada alasan untuk mengeluarkan product advisory.

Apakah VMware membuat pernyataan tentang ransomware ini?

VMware telah menerbitkan respons yang akan diperbarui sesuai kebutuhan:

VMware Security Response Center (vSRC) Menanggapi Serangan Ransomware ‘ESXiArgs’

Apa yang dapat dilakukan untuk melindungi lingkungan dari malware jenis ini?

Rekomendasi umum VMware untuk pelanggan yang ingin meningkatkan keamanan adalah:

  • Jalankan versi perangkat lunak VMware yang didukung.
  • Tetap perbarui rilis terbaru perangkat lunak VMware, dengan cepat.
  • Gunakan Panduan Konfigurasi Keamanan vSphere untuk memperkuat lingkungan.
  • Kontrol ketat akses ke antarmuka manajemen infrastruktur TI (tidak hanya vSphere).
  • Gunakan autentikasi multifaktor dan praktik otorisasi yang baik.
  • Berlangganan ke milis VMware Security Advisory untuk pemberitahuan masalah secara proaktif.

Perusahaan yang menempatkan antarmuka manajemen sistem infrastruktur TI mereka langsung di Internet harus mengambil langkah segera untuk memverifikasi filter dan kontrol keamanan tambahan di depan mereka dan meninjau kontrol tersebut untuk keefektifan.

Keamanan sangat bergantung pada konteks, dan VMware tidak dapat memberikan saran tanpa mengetahui lebih banyak tentang lingkungan dan bisnis pelanggan. Untuk tingkat bantuan ini, silakan gunakan Layanan Profesional VMware.

Apakah ada alat yang tersedia untuk membantu memulihkan dari serangan ESXiArgs?

CISA telah merilis skrip pemulihan untuk perusahaan yang telah menjadi korban ransomware ESXiArgs. Ransomware ESXiArgs mengenkripsi file konfigurasi pada server ESXi yang rentan, berpotensi membuat mesin virtual (VM) tidak dapat digunakan.

Alat ini dikembangkan bersama dengan VMware tetapi tidak didukung langsung oleh VMware. Jika pelanggan mengalami masalah dengan alat tersebut, mereka dapat mengajukan di GitHub di sini: https://github.com/cisagov/ESXiArgs-Recover/issues

Dan CISA akan melakukan yang terbaik untuk menyelesaikan masalah tersebut. Untuk informasi lebih lanjut di sini
VMware tidak dapat memberikan saran tentang keefektifan alat pihak ketiga. Seperti halnya semua pelanggaran, harap konsultasikan dengan tim tanggap insiden Anda sebelum menjalankan langkah pemulihan.

Apakah ada cara untuk mengotomatiskan audit dan menonaktifkan layanan SLP di semua host ESXi saya?

Ya. Silakan lihat Panduan Konfigurasi Keamanan vSphere untuk contoh di PowerCLI. Ingatlah bahwa SLP yang belum ditambal mungkin bukan satu-satunya vektor serangan yang digunakan, dan jenis serangan lain dapat mengeksploitasi kerentanan lainnya.

Jika saya menonaktifkan SLP, apakah fungsionalitas CIM akan terpengaruh?

Ya.

Fungsionalitas apa yang hilang jika SLP (dan CIM) dinonaktifkan?

Anda mungkin kehilangan fungsi pemantauan dan manajemen pihak ketiga jika Anda menggunakan protokol tersebut. Tidak ada interoperabilitas produk vSphere atau VMware yang terpengaruh.

Penggunaan CIM dan SLP tidak umum. Setiap lingkungan berbeda, tetapi Anda mungkin dapat menguji efek dari perubahan ini dengan mengubah satu host ESXi terlebih dahulu, mengamati efeknya, kemudian mengubah host lainnya agar sesuai.

Apakah VMware Cloud di AWS terpengaruh?

Tidak. VMware Cloud on AWS dikelola dan diperbarui oleh tim administrator yang menyelesaikan kerentanan sesuai kebutuhan. Kerentanan yang terlibat dalam serangan ini telah diselesaikan bertahun-tahun yang lalu.

Apakah VMware Cloud Foundation terpengaruh?

Pelanggan harus memastikan bahwa mereka telah memperbarui instalasi VMware Cloud Foundation mereka ke perangkat lunak versi terbaru yang didukung.

Bisakah saya mem-firewall produk yang terpengaruh?

Firewall dan bentuk isolasi jaringan lainnya dapat menjadi kontrol kompensasi, membantu mengurangi masalah.

Semua organisasi memiliki lingkungan dan kebutuhan yang berbeda. Apakah firewall adalah kontrol kompensasi yang sesuai di lingkungan Anda untuk situasi ini adalah untuk Anda dan staf keamanan informasi Anda untuk menilai.

Baca juga: 3 Fase Serangan Ransomware

Apakah vSphere 5.5 terpengaruh?

Yang paling disukai. vSphere 5.5 telah melewati akhir dari dukungan umum dan perpanjangan dan tidak dievaluasi sebagai bagian dari pekerjaan penasehat dan respons keamanan.

Tingkatkan ke vSphere 7 atau yang lebih baru sesegera mungkin. Ada titik awal pemutakhiran yang hebat di https://core.vmware.com/guide-vsphere-70-upgrade!

Apakah vSphere 6.0 terpengaruh?

Ya. vSphere 6.0 telah melewati akhir dari dukungan umum dan perpanjangan dan tidak dievaluasi sebagai bagian dari pekerjaan penasehat dan respons keamanan.

Tingkatkan ke vSphere 7 atau yang lebih baru sesegera mungkin. Ada titik awal pemutakhiran yang hebat di https://core.vmware.com/guide-vsphere-70-upgrade!

Apakah vSphere 6.5 terpengaruh?

Beberapa versi vSphere 6.5 mengandung kerentanan yang saat ini terkait dengan serangan ini. Perbarui ke versi terbaru 6.5 dan buat rencana untuk meningkatkan ke vSphere 7 atau yang lebih baru sesegera mungkin. Ada titik awal pemutakhiran yang hebat di https://core.vmware.com/guide-vsphere-70-upgrade!

Apakah vSphere 6.7 terpengaruh?

Beberapa versi vSphere 6.7 mengandung kerentanan yang saat ini terkait dengan serangan ini. Perbarui ke versi terbaru 6.5

Dan buat rencana untuk meningkatkan ke vSphere 7 atau yang lebih baru sesegera mungkin. Ada titik awal pemutakhiran yang hebat di https://core.vmware.com/guide-vsphere-70-upgrade!

Apakah vSphere 7.0 terpengaruh?

Beberapa versi vSphere 7.0 berisi kerentanan yang saat ini terkait dengan serangan ini. Harap perbarui ke level patch terbaru dari vSphere 7 Update 3.

Apakah vSphere 8.0 terpengaruh?

TIDAK.

Apakah CVE-2021-21974 terkait dengan serangan ransomware terbaru?

Ini telah dilaporkan oleh berbagai publikasi. VMware saat ini tidak memiliki bukti untuk mendukung bahwa kerentanan baru digunakan untuk menyebarkan serangan ransomware baru-baru ini, tetapi juga tidak ada bukti bahwa CVE-2021-21974 adalah satu-satunya vektor serangan. Rekomendasi VMware adalah memastikan pelanggan menambal ke versi terbaru.

Setelah memverifikasi OpenSLP diaktifkan di host ESXi. Tindakan apa yang harus diambil?

VMware merekomendasikan untuk menonaktifkan layanan OpenSLP di ESXi sejak 2021. Langkah-langkah untuk menonaktifkan OpenSLP ada di KB 76372 atau tercantum dalam Panduan Konfigurasi Keamanan.

 

Baca lainnya:

  • Panduan Singkat Ransomware
  • Anatomi Serangan Ransomware
  • Yang Perlu Diperhatikan dari Ransomware Tahun Ini
  • Preventif Serangan Ransomware

 

Sumber berita:

 

VMware.Com

 

 

 

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top esxiargs 101 Q&A vmware ransomware esxiargs server vmware 101 server vmware Q&A vmware 101

Continue Reading

Previous: 3 Fase Serangan Ransomware
Next: Permukaan Serangan atau Attack Surface

Related Stories

Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025

Recent Posts

  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS
  • ESET Gabung Operasi Endgame Lumpuhkan Danabot
  • Panggilan Palsu Senjata Baru Pencurian Data

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025
Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025

Copyright © All rights reserved. | DarkNews by AF themes.