Peringatan bagi pengguna VMware di tanah air. Pasalnya, serangan ransomware global yang menargetkan server VMware ESXi telah mengenkripsi ribuan server di seluruh dunia. Ransomware ini mengincar produk kedaluwarsa atau End of General Support (EOGS).
VMware sendiri merupakan layanan cloud pengembang infrastruktur virtualisasi dan menguasai lebih dari 70% pasar global (menurut Gartner), sehingga tidak mengherankan jika korban terus berjatuhan di seluruh dunia. Di Indonesia diketahui ada 7 perusahaan telah menjadi korban, terdiri dari 1 hotel, 2 media, 2 data center dan 2 ISP.
Melihat besarnya korban, IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh mengungkapkan bahwa korban yang jatuh disebabkan oleh pelaku yang menggunakan backdoor Phyton saat mengeksploitasi VMware, sehingga bisa menginjeksi berbagai macam platform sistem operasi saat melakukan serangan. "Situasi ini semakin memudahkan penetrasi ke sistem pengguna," ujar Yudhi melalui keterangan tertulis, Februari 2023.
Pelaku secara aktif menargetkan server VMware ESXi yang belum ditambal terhadap kerentanan eksekusi kode jarak jauh berusia dua tahun. Sistem yang saat ini ditargetkan adalah hypervisor ESXi dalam versi 6.x dan sebelum 6.7.
Kelemahan keamanan disebabkan oleh masalah limpahan tumpukan di layanan OpenSLP yang tidak diauntentikasi, yang diketahui sebagai CVE-2021-21974. Melalui celah keamanan dalam VMware ESXi tersebut, pelaku masuk dan menginjeksi guest yang tidak diproteksi dengan backdoor yang dibangun dengan Phyton.
Karena backdoor tersebut ditulis menggunakan Phyton, hal ini memudahkannya untuk menyusup berbagai platform sistem operasi, yang memungkinkan pelaku mengakses perangkat dari jarak jauh.
Langkah berikutnya peretas menyusupkan ransomware ke berbagai platform dengan cepat hingga mampu mengenkripsi 3.200 server sampai saat ini. Pelaku yang memanfaatkan kerentanan pada VMware ESXi menyebarkan ransomware ESXiArgs untuk mengenkripsi perangkat korban.
Ransomware mengenkripsi file dengan ekstensi .vmxf, .vmx, .vmdk, .vmsd, dan .nvram pada server ESXi yang dikompromikan dan membuat file .args untuk setiap dokumen terenkripsi dengan metadata (kemungkinan diperlukan untuk dekripsi).
Sejak pertama kali diketahui adanya serangan ransomware global eksploitasi VMware, ESET mampu mendeteksi ancaman tersebut dan memblokirnya. Pada dasarnya semua perangkat yang memiliki antivirus akan terlindungi dari ancaman ini. Umumnya perangkat yang disusupi dapat dienkripsi karena tidak memiliki proteksi.
Selain itu, untuk memblokir serangan masuk, admin harus menonaktifkan layanan Service Location Protocol (SLP) yang rentan pada hypervisor ESXi yang belum diperbarui. Saat ini VMWare sudah menyediakan patch untuk kerentananan ini. Pengguna juga sangat disarankan untuk segera menambal agar dapat menghindari ancaman malware.
0 Komentar