CISA telah menambahkan kerentanan tingkat kritis di Cloud Foundation VMware ke dalam katalog kelemahan keamanan yang dieksploitasi secara liar.
Cacat (dilacak sebagai CVE-2021-39144) ditemukan di pustaka sumber terbuka XStream yang digunakan oleh produk VMware yang rentan dan telah diberi skor keparahan hampir maksimum 9,8/10 oleh VMware.
Pelaku ancaman yang tidak diautentikasi dapat mengeksploitasi bug dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna untuk mengeksekusi kode arbitrer dari jarak jauh dengan hak akses root pada peralatan yang tidak ditambal.
“Karena titik akhir yang tidak diautentikasi yang memanfaatkan XStream untuk serialisasi input di VMware Cloud Foundation (NSX-V), aktor jahat bisa mendapatkan eksekusi kode jarak jauh dalam konteks ‘root’ pada alat,” VMware menjelaskan.
VMware merilis pembaruan keamanan untuk mengatasi cacat CVE-2021-39144 yang dilaporkan oleh Sina Kheirkhah dari MDSec dan Steven Seeley dari Source Incite pada tanggal 25 Oktober. Karena beratnya masalah, VMware juga mengeluarkan tambalan untuk beberapa produk akhir masa pakainya.
Pada hari patch CVE-2021-39144 dirilis, Kheirkhah juga menerbitkan postingan blog dengan detail teknis dan kode exploit proof-of-concept (PoC)..
Aktif dieksploitasi sejak awal Desember
Keputusan CISA untuk memasukkan kerentanan CVE-2021-39144 dalam katalog Known Exploited Vulnerabilities (KEV) menyusul konfirmasi dari VMware bahwa bug tersebut sedang dieksploitasi secara liar.
“Penasihat yang diperbarui dengan informasi bahwa VMware telah menerima laporan aktivitas eksploitasi di alam liar yang melibatkan CVE-2021-39144,” perusahaan itu dikatakan dalam pembaruan Kamis untuk penasehat asli.
Ini terjadi setelah perusahaan keamanan siber Wallarm mengungkapkan pada hari Senin bahwa eksploitasi CVE-2021-39144 dimulai hanya beberapa minggu setelah pembaruan keamanan dirilis dan telah berlangsung setidaknya sejak awal Desember 2022.
“Tim Deteksi Wallarm memburu dan menganalisis lusinan kerentanan setiap hari, dan yang ini sangat menarik karena telah dieksploitasi lebih dari 40.000 kali selama 2 bulan terakhir. Eksploitasi aktif dimulai pada 08-Des-2022 dan terus berlanjut,” Wallarm dikatakan.
“Jika berhasil dieksploitasi, dampak dari kerentanan ini bisa menjadi bencana besar, yang memungkinkan penyerang mengeksekusi kode arbitrer, mencuri data, dan/atau mengendalikan infrastruktur jaringan.”
Dengan penambahan cacat pada katalog KEV, CISA telah memerintahkan agen federal AS untuk mengamankan sistem mereka dari serangan dalam waktu tiga minggu, hingga 31 Maret, untuk menggagalkan serangan yang mungkin menargetkan jaringan mereka.
Meskipun November 2021 petunjuk operasional yang mengikat (BOD 22-01) dibalik perintah CISA yang hanya berlaku untuk badan federal AS, badan keamanan siber juga sangat mendesak semua organisasi untuk menambal bug ini untuk melindungi server mereka dari serangan yang berkelanjutan.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku dunia maya berbahaya dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA dikatakan.
