vCenter

Ransomware LockBit versi Linux menargetkan server VMware ESXi

January 27, 2022 by Eevee

Geng ransomware kini telah mengembangkan taktik mereka untuk membuat enkripsi Linux yang secara khusus menargetkan platform virtualisasi VMware vSphere dan ESXi yang populer selama setahun terakhir.

Meskipun ESXi tidak sepenuhnya Linux, ia memiliki banyak karakteristik yang sama, termasuk kemampuan untuk menjalankan executable ELF64 Linux.

Pada bulan Oktober, LockBit mulai mempromosikan fitur baru dari operasi Ransomware-as-a-Service mereka di forum peretasan RAMP, termasuk encryptor Linux baru yang menargetkan mesin virtual VMware ESXi.

Peneliti Trend Micro menganalisis encryptor Linux geng ransomware dan menjelaskan bagaimana itu digunakan untuk menargetkan instalasi VMWare ESXi dan vCenter.

Seperti encryptor Linux lainnya, LockBits menyediakan antarmuka baris perintah yang memungkinkan afiliasi untuk mengaktifkan dan menonaktifkan berbagai fitur untuk menyesuaikan serangan mereka.

Argumen baris perintah enkripsi LockBit Linux
Sumber: Trend Micro

Yang membuat encryptor linux LockBit menonjol adalah penggunaan luas utilitas baris perintah VMware ESXI dan VMware vCenter untuk memeriksa mesin virtual apa yang sedang berjalan dan untuk mematikannya dengan bersih sehingga tidak rusak saat dienkripsi.

Trend Micro menyatakan bahwa encryptor menggunakan AES untuk mengenkripsi file dan algoritma elliptic-curve cryptography (ECC) untuk mengenkripsi kunci dekripsi.

Dengan meluasnya penggunaan VMware ESXI di perusahaan, semua pembela jaringan dan profesional keamanan harus mengharapkan bahwa setiap operasi ransomware besar telah mengembangkan varian Linux.

Dengan membuat asumsi ini, admin dan profesional keamanan dapat membuat pertahanan dan rencana yang sesuai untuk melindungi semua perangkat di jaringan mereka, bukan hanya perangkat Windows.

Hal ini terutama berlaku untuk operasi LockBit, yang telah menjadi operasi ransomware paling menonjol sejak REvil ditutup dan membanggakan kecepatan dan rangkaian fitur enkripsinya.

Penting juga untuk diingat bahwa sebanyak kita menonton geng ransomware, mereka juga mengawasi kita kembali.

Ini berarti bahwa mereka memantau umpan sosial peneliti dan jurnalis untuk taktik, pertahanan, dan kerentanan terbaru yang kemudian dapat mereka gunakan terhadap target perusahaan.

Selengkapnya : Bleeping Computer

Peretas Sedang Memindai Target VMware CVE-2021-22005, Patch Sekarang!

September 23, 2021 by Winnie the Pooh

Pelaku ancaman sudah mulai menargetkan server VMware vCenter yang terpapar Internet yang tidak ditambal terhadap kerentanan pengunggahan file kritis yang ditambal kemarin yang dapat menyebabkan eksekusi kode jarak jauh.

Cacat keamanan yang dilacak sebagai CVE-2021-22005 berdampak pada semua penerapan vCenter Server 6.7 dan 7.0 dengan konfigurasi default.

Cacat ini dilaporkan oleh George Noseevich dan Sergey Gerasimov dari SolidLab LLC, dan penyerang yang tidak diautentikasi dapat mengeksploitasinya dari jarak jauh dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna.

Sementara kode exploit belum tersedia untuk umum, aktivitas pemindaian yang sedang berlangsung sudah terlihat oleh perusahaan intelijen ancaman Bad Packets, dengan beberapa VMware honeypots merekam penyerang yang menyelidiki keberadaan bug kritis hanya beberapa jam setelah VMware merilis pembaruan keamanan.

Saat ini, ribuan server vCenter yang berpotensi rentan dapat dijangkau melalui Internet dan terkena serangan, menurut mesin pencari Shodan untuk perangkat yang terhubung ke Internet.

Pemindaian yang sedang berlangsung ini mengikuti peringatan yang dikeluarkan oleh VMware kemarin untuk menyoroti pentingnya menambal server terhadap bug CVE-2021-22005 sesegera mungkin.

Perusahaan menyediakan solusi yang mengharuskan admin untuk mengedit file teks pada alat virtual dan memulai ulang layanan secara manual atau menggunakan skrip untuk menghapus vektor eksploitasi.

VMware juga menerbitkan dokumen FAQ terperinci dengan pertanyaan dan jawaban tambahan mengenai cacat CVE-2021-22005.

Selengkapnya: Bleeping Computer

Ribuan Server VMware vCenter Masih Terbuka untuk Diserang Melalui Internet

June 21, 2021 by Winnie the Pooh

Ribuan instance Server VMware vCenter dengan dua kerentanan yang baru-baru ini diungkapkan di dalamnya tetap dapat diakses publik di Internet tiga minggu setelah perusahaan mendesak organisasi untuk segera menambal kekurangan tersebut, dengan alasan tingkat keparahannya.

Kerentanan, CVE-2021-21985 dan CVE-2021-21986, pada dasarnya memberi penyerang cara untuk mengambil kendali penuh atas sistem yang menjalankan vCenter Server, sebuah utilitas untuk mengelola lingkungan server virtual VMware vSphere secara terpusat. Kerentanan ada di vCenter Server versi 6.5, 6.7, dan 7.0.

VMware merilis tambalan yang mengatasi kerentanan pada 25 Mei. Pada saat itu, perusahaan mendesak organisasi dengan versi perangkat lunak yang terpengaruh untuk menerapkan tambalan dengan cepat karena tingkat risiko yang tinggi dari kelemahan yang disajikan pada keamanan perusahaan.

Namun tiga minggu setelah pengumuman itu – dan peringatan berikutnya tentang aktivitas eksploitasi dari Badan Keamanan Cybersecurity dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri – banyak instance Server vCenter yang rentan tetap tidak ditambal dan terbuka untuk diserang, menurut Trustwave.

Perusahaan baru-baru ini melakukan pencarian di Shodan untuk melihat berapa banyak instance utilitas yang dapat ditemukan yang masih dapat diakses melalui Internet. Pencarian menghasilkan total 5.271 instance Server VMware vCenter yang terbuka secara publik ke Internet. Dari jumlah itu, 4.019 dipastikan rentan terhadap dua ancaman yang diidentifikasi VMware bulan lalu. 942 host lainnya menjalankan server vCenter versi lama dan akhir masa pakainya, Trustwave mengatakan dalam sebuah laporan minggu ini.

Selengkapnya: Dark Reading

Kerentanan dalam produk VMware memiliki tingkat keparahan 9.8 dari 10

May 27, 2021 by Winnie the Pooh

Pusat data di seluruh dunia memiliki masalah baru yang harus dihadapi — kerentanan kode jarak jauh dalam produk VMware yang banyak digunakan.

Cacat keamanan, yang diungkapkan dan diperbaiki VMware pada hari Selasa, berada di vCenter Server, alat yang digunakan untuk mengelola virtualisasi di pusat data besar.

Server vCenter digunakan untuk mengelola produk host vSphere dan ESXi VMware, yang menurut beberapa peringkat merupakan solusi virtualisasi terpopuler pertama dan kedua di pasar. Enlyft, situs yang menyediakan kecerdasan bisnis, menunjukkan bahwa lebih dari 43.000 organisasi menggunakan vSphere.

Penasihat VMware mengatakan bahwa mesin vCenter yang menggunakan konfigurasi default memiliki bug yang, di banyak jaringan, memungkinkan eksekusi kode berbahaya saat mesin dapat dijangkau pada port yang terpapar ke Internet. Kerentanan dilacak sebagai CVE-2021-21985 dan memiliki skor keparahan 9,8 dari 10.

Shodan, layanan yang membuat katalog situs yang tersedia di Internet, menunjukkan bahwa ada hampir 5.600 mesin vCenter yang dapat diakses publik. Sebagian besar atau semua dari mereka berada di pusat data besar yang berpotensi menampung terabyte data sensitif.

Shodan menunjukkan bahwa pengguna teratas dengan server vCenter yang terekspos di Internet adalah Amazon, Hetzner Online GmbH, OVH SAS, dan Google.

vCenter versi 6.5, 6.7, dan 7.0 semuanya terpengaruh. Organisasi dengan mesin yang rentan harus memprioritaskan tambalan ini. Mereka yang tidak dapat langsung menginstal harus mengikuti saran solusi Beaumont. VMware memiliki lebih banyak panduan solusi di sini.

Selengkapnya : Ars Technica

VMware memperbaiki bug RCE penting di semua penginstalan vCenter default

February 24, 2021 by Winnie the Pooh

VMware telah mengatasi kerentanan eksekusi kode jarak jauh (RCE) yang kritis di platform manajemen infrastruktur virtual Server vCenter yang memungkinkan penyerang berpotensi mengambil kendali sistem yang terpengaruh.

Server vCenter membantu admin TI mengelola host dan mesin virtual tervirtualisasi dalam lingkungan perusahaan melalui satu konsol.

Kerentanan yang dilaporkan secara pribadi dilacak sebagai CVE-2021-21972, dan dinilai dengan skor dasar CVSSv3 9,8 dari 10 menurut nasihat keamanan VMware.

CVE-2021-21972 dilaporkan oleh Mikhail Klyuchnikov dari Positive Technologies, dan dapat dieksploitasi dari jarak jauh oleh penyerang yang tidak berkepentingan dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Karena sifat kritis kerentanan keamanan ini, sangat disarankan untuk memperbarui penginstalan Server vCenter yang rentan sesegera mungkin.

Untuk menambal kerentanan, Anda harus memutakhirkan penginstalan yang terpengaruh ke vCenter Server 6.5 U3n, 6.7 U3l, atau 7.0 U1c.

VMware juga menyediakan solusi yang menghilangkan kemungkinan eksploitasi bagi mereka yang tidak dapat segera memperbarui ke versi yang memperbaiki cacat keamanan CVE-2021-21972.

Langkah-langkah mendetail tentang penerapan solusi tersebut pada peralatan virtual berbasis Linux (vCSA) dapat ditemukan di dokumen dukungan KB82374 VMware.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

vCenter

Cookies Settings