Serangan ESXiArgs pada Server VMware 101

Serangan ransomware ESXiArgs pada server VMware 101 merupakan respons terhadap serangan global terhadap server VMware ESXi yang tidak ditambal dan tidak dilindungi dan menginfeksi puluhan ribu server VMware.

VMware merespons ancaman ini dan mengeluarkan pernyataan bagaimana menangani permasalahan tersebut, dan berikut pertanyaan yang sering ditanyakan dan jawabannya.

Siapa yang terpengaruh oleh ini?

Dampak utama tampaknya terjadi pada perusahaan yang menjalankan versi ESXi yang belum ditambal, di mana pelaku memiliki akses langsung ke antarmuka manajemen ESXi.

Kapan harus mengambil tindakan?

Perusahaan yang menjalankan versi perangkat lunak yang lebih lama dari rilis saat ini berisiko dan harus segera diperbarui ke versi terbaru.

Personel keamanan pelanggan harus membuat penilaian terhadap situasi yang lebih bernuansa; untuk bantuan dengan penilaian keamanan, silakan gunakan Layanan Profesional VMware.

Organisasi yang menempatkan antarmuka manajemen sistem infrastruktur TI mereka langsung di Internet harus mengambil langkah segera untuk memverifikasi filter dan kontrol keamanan tambahan di depan mereka, meninjau kontrol tersebut untuk keefektifan.

Baca juga: Mengurai Serangan Ransomware pada Server VMware

Apakah masalah ini dieksploitasi dunia maya?

Ya.

CVE apa yang terlibat dalam serangan ini?

Tidak diketahui saat ini. Media telah berspekulasi tentang keterlibatan CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992, dan CVE-2019-5544 tetapi kemungkinan besar pelaku menggunakan kerentanan apa pun yang dapat diakses oleh mereka. VMware terus menyelidiki.

Apakah ini kerentanan pada produk VMware?

VMware yakin bahwa serangan ini memanfaatkan kerentanan yang ada pada produk VMware, yang telah diselesaikan melalui pembaruan.

Tampaknya ini bukan kerentanan baru. Namun, kami terus memantau situasi saat ini berkembang.

Produk apa yang terpengaruh?

VMware ESXi.

Tingkat tambalan apa yang diperlukan untuk menghindari masalah ini?

Tambalan terbaru untuk semua versi produk VMware utama yang didukung menyelesaikan semua kerentanan yang diungkapkan.

Perangkat lunak apa pun, dari VMware atau lainnya, yang diturunkan dari versi rilis saat ini dapat menimbulkan risiko keamanan. Tingkatkan lingkungan ke rilis terbaru yang didukung.

Apakah ESXi build mengatasi masalah ini?

Rilis produk tertentu dapat menyelesaikan masalah tertentu, tetapi masih mengandung kerentanan lainnya.

Tingkatkan lingkungan ke rilis terbaru yang didukung untuk menyelesaikan semua kerentanan yang diungkapkan.

Apakah akan ada tambalan ke vSphere 6.0, 6.5, dan 6.7 untuk mengatasi masalah ini?

Versi vSphere 6.x berada di luar masa pakai yang didukung dan tidak lagi diperbarui. Selain itu, ransomware bukanlah sesuatu yang langsung Anda tambal.

Malware jenis ini biasanya merupakan toolkit yang mengeksploitasi kerentanan lain. Kerentanan yang tampaknya digunakan oleh ESXiArgs sudah memiliki tambalan.

Apakah ada solusi yang tersedia untuk masalah ini?

Rekomendasi umum VMware untuk pelanggan yang ingin meningkatkan keamanan adalah:

Jalankan versi perangkat lunak VMware yang didukung.
Tetap perbarui rilis terbaru perangkat lunak VMware, dengan cepat.
Gunakan Panduan Konfigurasi Keamanan vSphere untuk memperkuat lingkungan.
Kontrol ketat akses ke antarmuka manajemen infrastruktur TI (tidak hanya vSphere).
Gunakan autentikasi multifaktor dan praktik otorisasi yang baik.
Berlangganan ke milis VMware Security Advisory untuk pemberitahuan masalah secara proaktif.

Perusahaan yang menempatkan antarmuka manajemen sistem infrastruktur TI mereka langsung di Internet harus mengambil langkah segera untuk memverifikasi filter dan kontrol keamanan tambahan di depan mereka, meninjau kontrol tersebut untuk keefektifan.

Keamanan sangat bergantung pada konteks, dan VMware tidak dapat memberikan saran tanpa mengetahui lebih banyak tentang lingkungan dan bisnis pelanggan. Untuk tingkat bantuan ini, silakan gunakan Layanan Profesional VMware.

Baca juga: Ribuan Server VMware Rentan Hacker Aktif Berburu Peluang

Mengapa VMware tidak merilis security advisory tentang ini?

Serangan ini tidak mengeksploitasi kerentanan baru, jadi tidak ada alasan untuk mengeluarkan product advisory.

Apakah VMware membuat pernyataan tentang ransomware ini?

VMware telah menerbitkan respons yang akan diperbarui sesuai kebutuhan:

VMware Security Response Center (vSRC) Menanggapi Serangan Ransomware ‘ESXiArgs’

Apa yang dapat dilakukan untuk melindungi lingkungan dari malware jenis ini?

Rekomendasi umum VMware untuk pelanggan yang ingin meningkatkan keamanan adalah:

Jalankan versi perangkat lunak VMware yang didukung.
Tetap perbarui rilis terbaru perangkat lunak VMware, dengan cepat.
Gunakan Panduan Konfigurasi Keamanan vSphere untuk memperkuat lingkungan.
Kontrol ketat akses ke antarmuka manajemen infrastruktur TI (tidak hanya vSphere).
Gunakan autentikasi multifaktor dan praktik otorisasi yang baik.
Berlangganan ke milis VMware Security Advisory untuk pemberitahuan masalah secara proaktif.

Apakah ada alat yang tersedia untuk membantu memulihkan dari serangan ESXiArgs?

CISA telah merilis skrip pemulihan untuk perusahaan yang telah menjadi korban ransomware ESXiArgs. Ransomware ESXiArgs mengenkripsi file konfigurasi pada server ESXi yang rentan, berpotensi membuat mesin virtual (VM) tidak dapat digunakan.

Alat ini dikembangkan bersama dengan VMware tetapi tidak didukung langsung oleh VMware. Jika pelanggan mengalami masalah dengan alat tersebut, mereka dapat mengajukan di GitHub di sini: https://github.com/cisagov/ESXiArgs-Recover/issues

Dan CISA akan melakukan yang terbaik untuk menyelesaikan masalah tersebut. Untuk informasi lebih lanjut di sini
VMware tidak dapat memberikan saran tentang keefektifan alat pihak ketiga. Seperti halnya semua pelanggaran, harap konsultasikan dengan tim tanggap insiden Anda sebelum menjalankan langkah pemulihan.

Apakah ada cara untuk mengotomatiskan audit dan menonaktifkan layanan SLP di semua host ESXi saya?

Ya. Silakan lihat Panduan Konfigurasi Keamanan vSphere untuk contoh di PowerCLI. Ingatlah bahwa SLP yang belum ditambal mungkin bukan satu-satunya vektor serangan yang digunakan, dan jenis serangan lain dapat mengeksploitasi kerentanan lainnya.

Jika saya menonaktifkan SLP, apakah fungsionalitas CIM akan terpengaruh?

Ya.

Fungsionalitas apa yang hilang jika SLP (dan CIM) dinonaktifkan?

Anda mungkin kehilangan fungsi pemantauan dan manajemen pihak ketiga jika Anda menggunakan protokol tersebut. Tidak ada interoperabilitas produk vSphere atau VMware yang terpengaruh.

Penggunaan CIM dan SLP tidak umum. Setiap lingkungan berbeda, tetapi Anda mungkin dapat menguji efek dari perubahan ini dengan mengubah satu host ESXi terlebih dahulu, mengamati efeknya, kemudian mengubah host lainnya agar sesuai.

Apakah VMware Cloud di AWS terpengaruh?

Tidak. VMware Cloud on AWS dikelola dan diperbarui oleh tim administrator yang menyelesaikan kerentanan sesuai kebutuhan. Kerentanan yang terlibat dalam serangan ini telah diselesaikan bertahun-tahun yang lalu.

Apakah VMware Cloud Foundation terpengaruh?

Pelanggan harus memastikan bahwa mereka telah memperbarui instalasi VMware Cloud Foundation mereka ke perangkat lunak versi terbaru yang didukung.

Bisakah saya mem-firewall produk yang terpengaruh?

Firewall dan bentuk isolasi jaringan lainnya dapat menjadi kontrol kompensasi, membantu mengurangi masalah.

Semua organisasi memiliki lingkungan dan kebutuhan yang berbeda. Apakah firewall adalah kontrol kompensasi yang sesuai di lingkungan Anda untuk situasi ini adalah untuk Anda dan staf keamanan informasi Anda untuk menilai.

Baca juga: 3 Fase Serangan Ransomware

Apakah vSphere 5.5 terpengaruh?

Yang paling disukai. vSphere 5.5 telah melewati akhir dari dukungan umum dan perpanjangan dan tidak dievaluasi sebagai bagian dari pekerjaan penasehat dan respons keamanan.

Tingkatkan ke vSphere 7 atau yang lebih baru sesegera mungkin. Ada titik awal pemutakhiran yang hebat di https://core.vmware.com/guide-vsphere-70-upgrade!

Apakah vSphere 6.0 terpengaruh?

Ya. vSphere 6.0 telah melewati akhir dari dukungan umum dan perpanjangan dan tidak dievaluasi sebagai bagian dari pekerjaan penasehat dan respons keamanan.

Tingkatkan ke vSphere 7 atau yang lebih baru sesegera mungkin. Ada titik awal pemutakhiran yang hebat di https://core.vmware.com/guide-vsphere-70-upgrade!

Apakah vSphere 6.5 terpengaruh?

Beberapa versi vSphere 6.5 mengandung kerentanan yang saat ini terkait dengan serangan ini. Perbarui ke versi terbaru 6.5 dan buat rencana untuk meningkatkan ke vSphere 7 atau yang lebih baru sesegera mungkin. Ada titik awal pemutakhiran yang hebat di https://core.vmware.com/guide-vsphere-70-upgrade!

Apakah vSphere 6.7 terpengaruh?

Beberapa versi vSphere 6.7 mengandung kerentanan yang saat ini terkait dengan serangan ini. Perbarui ke versi terbaru 6.5

Dan buat rencana untuk meningkatkan ke vSphere 7 atau yang lebih baru sesegera mungkin. Ada titik awal pemutakhiran yang hebat di https://core.vmware.com/guide-vsphere-70-upgrade!

Apakah vSphere 7.0 terpengaruh?

Beberapa versi vSphere 7.0 berisi kerentanan yang saat ini terkait dengan serangan ini. Harap perbarui ke level patch terbaru dari vSphere 7 Update 3.

Apakah vSphere 8.0 terpengaruh?

TIDAK.

Apakah CVE-2021-21974 terkait dengan serangan ransomware terbaru?

Ini telah dilaporkan oleh berbagai publikasi. VMware saat ini tidak memiliki bukti untuk mendukung bahwa kerentanan baru digunakan untuk menyebarkan serangan ransomware baru-baru ini, tetapi juga tidak ada bukti bahwa CVE-2021-21974 adalah satu-satunya vektor serangan. Rekomendasi VMware adalah memastikan pelanggan menambal ke versi terbaru.

Setelah memverifikasi OpenSLP diaktifkan di host ESXi. Tindakan apa yang harus diambil?

VMware merekomendasikan untuk menonaktifkan layanan OpenSLP di ESXi sejak 2021. Langkah-langkah untuk menonaktifkan OpenSLP ada di KB 76372 atau tercantum dalam Panduan Konfigurasi Keamanan.

Baca lainnya:

Sumber berita:

VMware.Com