Berita & Artikel

Homepage
Pelaku Ransomware Memanfaatkan Bug VMware ESXi Hypervisor

Advisory

Pelaku Ransomware Memanfaatkan Bug VMware ESXi Hypervisor

August 19, 2024

Deskripsi

1


	Peneliti Microsoft telah mengamati beberapa Threat Actor ransomware seperti Storm-0506, Storm-1175, Octo Tempest, dan Manatee Tempest. Para pelaku terpantau memanfaatkan kerentanan di hypervisor ESXi untuk mendapatkan kontrol administratif penuh atas server. Kerentanan ini diidentifikasi sebagai CVE-2024-37085 dengan severity Medium (CVSS v3.1: 6.8) yang berpotensi menghentikan operasi, hingga mengekstraksi data jika mendapatkan hak akses administrator.

Metode Serangan

2


	Kerentanan ini memanfaatkan celah pada hypervisor ESXi yang terhubung dengan group “ESX Admins” pada Active Directory (AD) domain. Secara default, nama group tersebut tidak ada. Namun hypervisor ESXi akan memberlakukan setiap anggota di dalam grup tersebut untuk menerima akses administratif penuh ke hypervisor ESXi. Beberapa jenis ransomware seperti Akira dan Black Basta, akan membuat group “ESX Admins” untuk mengeksploitasi kerentanan tersebut.

Versi Terdampak

3

VMWare Product	Version	Fixed Version
ESXi	8.0	ESXi80U3-24022510
ESXi	7.0	No Patch Planned
VMware Cloud Foundation	5.x	5.2
VMware Cloud Foundation	4.x	No Patch Planned

Mitigasi

4


	Bagi pengelola hypervisor ESXi, segera melakukan update patch (Source no 2) pada versi yang di-support ke Fixed Version. Sedangkan versi lain yang tidak mendapatkan update patch, dapat melakukan workaround yang disarankan oleh Broadcom (Source no 3). Secara teratur perbarui dan pantau pada hypervisor ESXi dan vCenter. Pastikan backup plan dan recovery plan tersedia dan sudah teruji untuk mengurangi risiko dampak serangan ransomware.

Source :

Recent posts

Eksploitasi Kerentanan Kritikal Apache HTTP Server (CVE-2024-38475)
May 2, 2025
Eksploitasi Kerentanan Kritikal RCE Apache Tomcat (CVE-2025-24813)
March 21, 2025
Eksploitasi Massal Kerentanan Kritikal RCE pada PHP (CVE-2024-4577)
March 14, 2025
Lotus Blossom Menargetkan Asia Tenggara Menggunakan Sagerunex Backdoor
March 7, 2025
Eksploitasi Kerentanan pada VMware ESXi, Workstation, & Fusion (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
March 3, 2025

Recent posts

Eksploitasi Kerentanan Kritikal Apache HTTP Server (CVE-2024-38475)

Eksploitasi Kerentanan Kritikal RCE Apache Tomcat (CVE-2025-24813)

Eksploitasi Massal Kerentanan Kritikal RCE pada PHP (CVE-2024-4577)

Lotus Blossom Menargetkan Asia Tenggara Menggunakan Sagerunex Backdoor

Eksploitasi Kerentanan pada VMware ESXi, Workstation, & Fusion (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)