Mesin virtual sudah sering mengalami serangan siber dengan berbagai cara dan dalam serangan terbaru menyebabkan ribuan perusahaan terancam zero-day dalam produk VMware yang terinfeksi.
Tiga kerentanan zero-day dalam produk VMware telah menempatkan puluhan ribu perusahaan pada risiko kebocoran mesin virtual (VM), yang dapat menyebabkan pelanggaran yang sangat merusak.
Menurut data pemindaian dari peneliti keamanan, ada lebih dari 41.000 instans ESXi di seluruh dunia yang rentan terhadap CVE-2025-22224 (skor CVSS: 9,3) per 6 Maret. Bug tersebut menyebabkan kondisi penulisan di luar batas dalam VMware ESXi dan Workstation.
|
Baca juga: Zero Day 101 |
Akses Istimewa
Pemindaian awalnya menunjukkan lebih dari 41.500 instans yang rentan pada 4 Maret setelah pengungkapan kerentanan tersebut. Negara-negara dengan jumlah instans ESXi yang tidak ditambal tertinggi adalah Tiongkok, Prancis, dan AS.
Broadcom mengungkapkan kerentanan tersebut pada 4 Maret dan memperingatkan pelanggan bahwa kelemahan tersebut dapat dirangkai bersama untuk mencapai hypervisor atau VM escape.
Ini adalah situasi di mana penyerang yang telah membahayakan OS tamu mesin virtual dan memperoleh akses istimewa (administrator atau root) dapat masuk ke hypervisor itu sendiri.
Selain CVE-2025-22224, kerentanan tersebut meliputi CVE-2025-22225 (skor CVSS: 8.2), yang merupakan kerentanan penulisan arbitrer di VMware ESXi; dan CVE-2025-22226 (skor CVSS: 7.1), kerentanan pengungkapan informasi di VMware ESXi, Workstation, dan Fusion.
|
Baca juga: 3 Definisi Zero Day |
VM Escape
Di sisi positifnya, penyerang harus merantai ketiga kelemahan tersebut untuk mencapai VM escape. VM escape adalah eksploitasi keamanan yang terjadi saat program yang berjalan di dalam mesin virtual (VM) berhasil keluar dari lingkungan terisolasinya dan berinteraksi langsung dengan sistem operasi host, yang pada dasarnya memungkinkan penyerang memperoleh akses ke perangkat keras fisik yang mendasarinya dengan mengeksploitasi kerentanan dalam hypervisor atau sistem operasi tamu dari VM
Selain itu, eksploitasi kelemahan zero-day memerlukan perolehan hak istimewa administrator pada VM. Bahkan dengan hak istimewa admin, penyerang tidak dapat meninggalkan batasan lingkungan virtual tersebut dan berinteraksi dengan sistem host.
Namun, eksploitasi berantai dapat memungkinkan penyerang untuk tidak hanya membobol sistem host tetapi juga membahayakan VM tambahan dan infrastruktur yang mendasarinya. Dalam kasus di mana VM dihosting oleh penyedia cloud multitenant, penyerang berpotensi menggunakan serangan escape untuk membobol beberapa lingkungan pelanggan pada infrastruktur cloud yang sama.
Rantai serangan zero-day sangat berbahaya bagi perusahaan yang menghosting VM terkelola. Kompromi satu VM pelanggan akan memungkinkan kompromi setiap VM pelanggan di penyedia terkelola yang sama.
Selain itu, pertahanan keamanan seperti deteksi dan respons endpoint (EDR) biasanya kurang memiliki visibilitas ke lingkungan virtual seperti mesin ESXi, menurut peneliti keamanan. Oleh karena itu, akan lebih sulit bagi perusahaan untuk mendeteksi eksploitasi kerentanan di VM mereka.
|
Baca juga: Mengenal Zero Day |
Risiko Keamanan
Risiko yang ditimbulkan oleh kerentanan ini tidak dapat diremehkan. Meskipun memang memerlukan prasyarat, hal itu tidak menghentikan penyerang sebelumnya, dan kita tahu jenis kelemahan ini sangat berharga, terutama bagi afiliasi ransomware.
Karena belum ada kode eksploitasi yang tersedia untuk umum untuk kerentanan ini, sekarang adalah waktu yang tepat bagi perusahaan untuk menerapkan patch yang tersedia sebelum terlambat.
Risikonya tidak teoritis; ESXi telah lama menjadi target populer bagi penyerang. Musim panas lalu, beberapa geng ransomware dan kelompok penjahat dunia maya mengeksploitasi kerentanan bypass autentikasi di ESXi, yang dilacak sebagai CVE-2024-37085, untuk mengenkripsi data perusahaan di seluruh lingkungan virtual mereka.
Sumber berita:
Prosperita IT News