Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Technology / Virtual Machine

Virtual Machine

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

UNC3886 telah menggunakan vSphere Installation Bundles (VIB) berbahaya – paket yang biasanya digunakan untuk memelihara sistem dan menyebarkan pembaruan – untuk menginstal backdoors pada ESXi hypervisors dan mendapatkan eksekusi perintah, manipulasi file, dan kemampuan reverse shell.

Tindakan jahat grup tersebut akan berdampak pada host VMware ESXi, server vCenter, dan mesin virtual Windows (VM).

Dalam serangan baru-baru ini, mata-mata dunia maya terlihat mengambil kredensial dari vCenter Server untuk semua host ESXi yang terhubung, menerapkan pintu belakang menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

Selain itu, grup tersebut telah mengeksploitasi kerentanan zero-day di VMware Tools untuk melewati otentikasi dan menjalankan perintah istimewa di VM tamu Windows, Linux, dan PhotonOS (vCenter).

Dilacak sebagai CVE-2023-20867, kerentanan tersebut memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

“Host ESXi yang sepenuhnya dikompromikan dapat memaksa VMware Tools untuk gagal mengautentikasi operasi host-ke-tamu, yang berdampak pada kerahasiaan dan integritas mesin virtual tamu,” VMware menjelaskan dalam sebuah nasihat. VMware Tools versi 12.2.5 mengatasi kekurangan tersebut.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Malware memberi penyerang tingkat kegigihan baru (akses ke host ESXi yang terinfeksi diperoleh kembali dengan mengakses VM) yang juga memungkinkan untuk memotong segmentasi jaringan dan menghindari tinjauan keamanan untuk port mendengarkan terbuka.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

sumber : securityweek.com

Eksploitasi Kerentanan Kritis pada Produk VMware Akhir Masa Pakai Sedang Berlangsung

by

Perusahaan pendeteksi kerentanan aplikasi, Wallarm Detect, memperingatkan tentang eksploitasi berkelanjutan atas kelemahan kritis di VMware Cloud Foundation dan NSX Data Center for vSphere (NSX-V).

Diungkapkan pada Oktober 2022 dan dilacak sebagai CVE-2021-39144 (skor CVSS 9,8), saat VMware mengumumkan tambalan untuknya, meskipun produk yang terpengaruh telah mencapai status akhir masa pakai (EOL) pada Januari 2022.

Cacat keamanan diidentifikasi di library open-source XStream yang mendukung serialisasi objek ke XML dan sebaliknya, berdampak pada XStream versi 1.4.17 dan yang lebih lama.

VMware mengumumkan tambalan untuk kerentanan ini pada 25 Oktober. Dua hari kemudian, perusahaan memperbarui penasehatnya untuk memperingatkan bahwa kode proof-of-concept (PoC) yang menargetkan kerentanan telah dirilis.

Masalah ini telah diatasi bersama dengan CVE-2022-31678, cacat Entitas Eksternal XML (XXE) tingkat keparahan sedang yang dapat memungkinkan penyerang yang tidak diautentikasi menyebabkan kondisi denial-of-service (DoS).

Selengkapnya: Security Week

Kegunaan ESXiArgs-Recover untuk memulihkan Virtual Machine Terserang Ransomware

by

ESXiArgs-Recover adalah alat untuk memungkinkan organisasi mencoba memulihkan virtual machine yang terkena serangan ransomware ESXiArgs.

CISA mengetahui bahwa beberapa organisasi telah melaporkan keberhasilan memulihkan file tanpa membayar uang tebusan. CISA menyusun alat ini berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac. Alat ini bekerja dengan merekonstruksi metadata virtual machine dari disk virtual yang tidak dienkripsi oleh malware. Untuk informasi selengkapnya, lihat Panduan Pemulihan virtual machine ESXiArgs Ransomware CISA.

disclaimer
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga yang disebutkan di atas. Setiap organisasi yang ingin menggunakan skrip pemulihan ESXiArgs CISA harus meninjau skrip dengan hati-hati untuk menentukan apakah skrip tersebut sesuai untuk lingkungan mereka sebelum menerapkannya. Skrip ini tidak berusaha untuk menghapus file konfigurasi terenkripsi, melainkan berusaha membuat file konfigurasi baru yang memungkinkan akses ke VM. Meskipun CISA bekerja untuk memastikan bahwa skrip seperti ini aman dan efektif, skrip ini dikirimkan tanpa jaminan, baik implisit maupun eksplisit. Jangan gunakan skrip ini tanpa memahami bagaimana hal itu dapat memengaruhi sistem Anda. CISA tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Skrip ini disediakan “sebagaimana adanya” hanya untuk tujuan informasi. CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun. Referensi apa pun untuk produk, proses, atau layanan komersial tertentu oleh merek layanan, merek dagang, pabrikan, atau lainnya, bukan merupakan atau menyiratkan dukungan, rekomendasi, atau dukungan oleh CISA.

selengkapnya : github