CISA telah memerintahkan badan-badan Cabang Eksekutif Sipil Federal AS (FCEB) untuk mengamankan server mereka terhadap kerentanan bypass autentikasi VMware ESXi yang dieksploitasi dalam serangan ransomware.
Anak perusahaan Broadcom VMware memperbaiki kelemahan ini (CVE-2024-37085) ditemukan oleh peneliti keamanan Microsoft pada tanggal 25 Juni dengan dirilisnya ESXi 8.0 U3.
CVE-2024-37085 memungkinkan penyerang untuk menambahkan pengguna baru ke grup ‘ESX Admins’—tidak ada secara default tetapi dapat ditambahkan setelah memperoleh hak istimewa tinggi pada hypervisor ESXi—yang secara otomatis akan diberi hak istimewa administratif penuh.
Meskipun eksploitasi yang berhasil memerlukan interaksi pengguna dan hak istimewa yang tinggi untuk dilakukan, dan VMware menilai kerentanan tersebut sebagai tingkat keparahan sedang, Microsoft mengungkapkan pada hari Senin minggu ini bahwa beberapa geng ransomware sudah mengekskalasinya untuk meningkatkan ke hak istimewa admin penuh pada hypervisor yang bergabung dengan domain.
Setelah mereka memperoleh izin admin, mereka mencuri data sensitif dari VM, bergerak secara lateral melalui jaringan korban, dan kemudian mengenkripsi sistem berkas hypervisor ESXi, yang menyebabkan pemadaman dan mengganggu operasi bisnis.
Sejauh ini, CVE-2024-37085 telah dieksploitasi oleh operator ransomware yang dilacak sebagai Storm-0506, Storm-1175, Octo Tempest, dan Manatee Tempest untuk menyebarkan ransomware Akira dan Black Basta.
Badan-badan federal punya waktu tiga minggu untuk mengamankan sistem-sistem yang rentan
Menyusul laporan Microsoft, CISA telah menambahkan kerentanan keamanan ke katalog ‘Kerentanan yang Diketahui Telah Dieksploitasi’, yang berfungsi sebagai peringatan bahwa aktor ancaman memanfaatkannya dalam serangan.
Badan-badan Cabang Eksekutif Sipil Federal (FCEB) kini memiliki waktu tiga minggu hingga 20 Agustus untuk mengamankan sistem mereka terhadap eksploitasi CVE-2024-37085 yang sedang berlangsung, menurut petunjuk operasional yang mengikat (BOD 22-01) diterbitkan pada bulan November 2021.
Meskipun arahan ini hanya berlaku untuk lembaga federal, badan keamanan siber sangat dianjurkan semua organisasi memprioritaskan perbaikan kelemahan dan menggagalkan serangan ransomware yang dapat menargetkan jaringan mereka.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku cyber jahat dan menimbulkan risiko signifikan terhadap perusahaan federal,” CISA memperingatkan.
Selama bertahun-tahun, operasi ransomware telah mengalihkan fokusnya untuk menargetkan mesin virtual (VM) ESXi milik korbannya, terutama setelah korban mulai menggunakannya untuk menyimpan data sensitif dan menghosting aplikasi penting.
Namun, hingga saat ini, mereka terutama menggunakan loker Linux yang dirancang untuk mengenkripsi VM daripada mengeksploitasi kerentanan keamanan tertentu dalam ESXi (seperti CVE-2024-37085), meskipun hal itu dapat memberikan cara yang lebih cepat untuk mengakses hypervisor korban.
