Bug perangkat lunak yang belum ditambal yang ada di server ESXi VMWare sedang dieksploitasi oleh peretas dengan tujuan menyebarkan ransomware ke seluruh dunia.
Server VMWare yang Tidak Ditambal Disalahgunakan oleh Peretas
Kerentanan perangkat lunak berusia dua tahun yang ada di server ESXi VMWare telah menjadi sasaran kampanye peretasan yang meluas. Tujuan dari serangan itu adalah untuk menyebarkan ESXiArgs, varian ransomware baru. Ratusan organisasi diperkirakan terkena dampaknya.
Tim Tanggap Darurat Komputer Prancis (CERT) memposting pernyataan pada 3 Februari, di mana sifat serangan itu dibahas. Dalam pos CERT, tertulis bahwa kampanye "tampaknya memanfaatkan paparan ESXi hypervisor yang belum diperbarui dengan tambalan keamanan dengan cukup cepat." CERT juga mencatat bahwa bug yang ditargetkan "memungkinkan penyerang untuk melakukan eksploitasi kode arbitrer jarak jauh."
Organisasi telah didesak untuk menambal kerentanan hypervisor untuk menghindari menjadi korban operasi ransomware ini. Namun, CERT mengingatkan pembaca dalam pernyataan di atas bahwa "memperbarui produk atau perangkat lunak adalah hal yang rumit operasi yang harus dilakukan dengan hati-hati," dan bahwa "disarankan untuk melakukan pengujian sebanyak mungkin."
VMWare Juga Telah Berbicara Tentang Situasi
Bersama dengan CERT dan berbagai entitas lainnya, VMWare juga telah merilis postingan tentang serangan global ini. Di sebuah Penasihat VMWare, tertulis bahwa kerentanan server (dikenal sebagai CVE-2021-21974) dapat memberikan pelaku jahat kemampuan untuk "memicu masalah heap-overflow di layanan OpenSLP yang mengakibatkan kode jarak jauh eksekusi."
VMWare juga mencatat bahwa mereka mengeluarkan tambalan untuk kerentanan ini pada Februari 2021, yang dapat digunakan untuk memotong vektor serangan operator jahat dan karenanya menghindari menjadi sasaran.
Serangan Ini Tampaknya Tidak Dikelola oleh Negara
Meskipun identitas para penyerang dalam kampanye ini belum diketahui, telah dikatakan oleh National Cybersecurity Italia. Agency (ACN) bahwa saat ini tidak ada bukti yang menunjukkan bahwa serangan itu dilakukan oleh entitas negara mana pun (sebagaimana dilaporkan oleh Reuters). Berbagai organisasi Italia terkena dampak serangan ini, serta organisasi di Prancis, AS, Jerman, dan Kanada.
Saran telah diberikan mengenai siapa yang bertanggung jawab atas kampanye ini, dengan perangkat lunak dari berbagai pihak keluarga ransomware seperti BlackCat, Agenda, dan Nokoyawa, sedang dipertimbangkan. Waktu akan memberi tahu apakah identitas operator dapat diungkap.
Serangan Ransomware Terus Menimbulkan Risiko Besar
Seiring berlalunya waktu, semakin banyak organisasi yang menjadi korban serangan ransomware. Mode kejahatan dunia maya ini telah menjadi sangat populer di kalangan pelaku jahat, dengan peretasan VMWare global ini menunjukkan seberapa luas konsekuensinya.