CISA mengkonfirmasi pada hari Rabu bahwa geng ransomware telah mulai mengeksploitasi kerentanan sandbox escape VMware ESXi dengan tingkat keparahan tinggi yang sebelumnya digunakan dalam serangan zero-day.
Broadcom ditambal kerentanan penulisan sewenang-wenang ESXi ini (dilacak sebagai CVE-2025-22225) pada bulan Maret 2025 bersamaan dengan kebocoran memori (CVE-2025-22226) dan kelemahan TOCTOU (CVE-2025-22224), dan menandai semuanya sebagai zero-day yang dieksploitasi secara aktif.
“Aktor jahat yang memiliki hak istimewa dalam proses VMX dapat memicu penulisan kernel sewenang-wenang yang menyebabkan keluarnya sandbox,” kata Broadcom tentang kelemahan CVE-2025-22225.
Pada saat itu, perusahaan tersebut mengatakan bahwa tiga kerentanan tersebut mempengaruhi produk-produk VMware ESX, termasuk VMware ESXi, Fusion, Cloud Foundation, vSphere, Workstation, dan Telco Cloud Platform, dan bahwa penyerang dengan hak istimewa administrator atau akses root dapat merantai mereka untuk keluar dari sandbox mesin virtual.
Menurut laporan yang diterbitkan bulan lalu oleh perusahaan keamanan siber Huntress, pelaku ancaman berbahasa Tiongkok kemungkinan besar telah merantai kelemahan ini dalam serangan zero-day yang canggih setidaknya sejak Februari 2024.
Ditandai sebagai dieksploitasi dalam serangan ransomware
Di sebuah Pembaruan hari Rabu Selain daftar kerentanan yang dieksploitasi secara liar, Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan CVE-2025-22225 kini diketahui digunakan dalam kampanye ransomware tetapi tidak memberikan rincian lebih lanjut tentang serangan yang sedang berlangsung ini.
CISA Pertama menambahkan kekurangannya ke katalog Kerentanan yang Diketahui Dieksploitasi (KEV) pada bulan Maret 2025 dan memerintahkan lembaga federal untuk mengamankan sistem mereka paling lambat tanggal 25 Maret 2025, sebagaimana diamanatkan dalam Petunjuk Operasional yang Mengikat (BOD) 22-01.
“Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia,” kata badan keamanan siber tersebut.
Geng Ransomware dan kelompok peretasan yang disponsori negara sering kali menargetkan kerentanan VMware karena produk VMware digunakan secara luas pada sistem perusahaan yang biasanya menyimpan data sensitif perusahaan.
Misalnya saja pada bulan Oktober, CISA memerintahkan lembaga pemerintah untuk menambal kerentanan tingkat tinggi (CVE-2025-41244) pada perangkat lunak VMware Aria Operations dan VMware Tools milik Broadcom, yang telah dieksploitasi oleh peretas Tiongkok dalam serangan zero-day sejak Oktober 2024.
Baru-baru ini, CISA juga melakukannya menandai kerentanan kritis VMware vCenter Server (CVE-2024-37079) yang dieksploitasi secara aktif pada bulan Januari dan memerintahkan lembaga federal untuk mengamankan server mereka pada tanggal 13 Februari.
Dalam berita terkait, minggu ini, perusahaan keamanan siber GreyNoise melaporkan bahwa CISA telah melakukannya “secara diam-diam” menandai 59 kelemahan keamanan seperti yang diketahui digunakan dalam kampanye ransomware tahun lalu saja.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
