CVE-2021-22005

VMware vCenter Server File Upload (CVE-2021-2205) merupakan sebuah kerentanan file upload arbitrer yang ditemukan pada server vCenter milik VMware. Aktor peretas dapat memafaatkan kases jaringan dengan porta 443 dan mengeksploitasi kerentanan ini untuk mengeksekusi kode jahat pada server vCenter.

Sejarah

Dari sisi linimasa, kerentanan CVE-2021-2205 ini ditemukan sejak 21 September 2021 dimana VMware selaku pemilik server vCenter mengeluarkan informasi kerentanan yang dapat dikonsumsi oleh pubilk secara luas. Tidak lama berselang, pada 24 September 2021 para peneliti keamanan melaporkan banyaknya pemindaian secara masif pada server vCenter yang langsung terakses secara publik. Beberapa peneliti membuktikan secara langsung bahwa kerentanan tersebut benar dan dapat dieksploitasi untuk selanjutnya bisa digunakan untuk menananmkan dan menjalankan kode jahat. Di hari yang sama otoritas kemanan siber Amerika Serikat (CISA) mengeluarkan rekomendasi prioritas mitigasi yang langsung berdampak pada infrastruktur kiritikal.

Eksploitasi Kerentanan

VMware Vcenter adalah server yang digunakan administrator untuk melakukan manajemen utilitas tersentralisasiuntuk melakukan provisi, monitor, orkestrasi dan kontrol VMware Vsphere. Perangkat lunak Vcenter dapat dipasang pada sistem operasi Windows dan Linux dimana porta 443 nya dapat diakses oleh aktor peretas untuk melakukan eskalasi privilege, access restricted endpoints, akses ke informasi sensitif, penghapusan file dan manipulasi pengaturan jaringan Virtual Machine. Selain itu, kerentanan ini juga bisa dapat membuat backdoor bahkan dapat digunakan untuk penyebaran ransomware. Kerentanan ini dinilai sebagai kerentanan kritikal karena memiliki nilai CVSS 9.8.^[1]

Mitigasi

Otoritas kemanan siber Amerika Serikat (CISA), VMware Security Advisory (VMSA) dan Badan Sandi dan Siber Nasional (BSSN)^[2] merekomendasikan mitigasi sesuai VMSA-2021-0020 untuk segera melakukan mitigasi sebagagi berikut:

Melakukan pembaruan perangkat lunak server vCenter ke versi yang terbaru yakni versi 7.0 ke atas dan Cloud Foundation Server 5.0 ke atas.
Melakukan perubahan sementara untuk mengurangi resiko melalui API dan User Interface sesuai rekomendasi VMSA-2021-0020.^[3]
Melakukan pembatasan akses ke jaringan insfrastruktur kritikal yang terdampak.

Referensi

^ "Common Vulnerability Scoring System Version 3.1 Calculator". FIRST — Forum of Incident Response and Security Teams. Diakses tanggal 2023-05-06.
^ BSSN (2021). Laporan Tahunan Monitoring Keamanan Siber. ID-SIRTII/CC. hlm. 106. Pemeliharaan CS1: Status URL (link)
^ VMware, VMware (2021-09-21). "VMSA-2021-0020.1". VMware. Diakses tanggal 2023-05-06.

[1] "Common Vulnerability Scoring System Version 3.1 Calculator". FIRST — Forum of Incident Response and Security Teams. Diakses tanggal 2023-05-06.

[2] BSSN (2021). Laporan Tahunan Monitoring Keamanan Siber. ID-SIRTII/CC. hlm. 106. Pemeliharaan CS1: Status URL (link)

[3] VMware, VMware (2021-09-21). "VMSA-2021-0020.1". VMware. Diakses tanggal 2023-05-06.

[1]

[2]

[3]