Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan peringatan mendesak kepada lembaga-lembaga pemerintah Amerika Serikat untuk menambal kerentanan kritis pada VMware Tools dan VMware Aria Operations yang telah dieksploitasi oleh aktor siber negara asal Tiongkok sejak tahun lalu.
🧩 Detail Kerentanan
- Kode CVE: CVE-2025-41244
- Tingkat Keparahan: Tinggi
- Dampak: Privilege Escalation (peningkatan hak akses ke root)
- Produk terdampak:
- VMware Aria Operations (dengan SDMP enabled)
- VMware Tools (pada mode credential-less)
Kerentanan ini memungkinkan penyerang lokal dengan hak akses terbatas di mesin virtual (VM) untuk meningkatkan izin menjadi root di sistem yang sama, sehingga dapat menjalankan kode berbahaya dengan kendali penuh.
🕒 Batas Waktu Penambalan
CISA telah menambahkan CVE-2025-41244 ke dalam Known Exploited Vulnerabilities (KEV) Catalog, daftar resmi kerentanan yang sedang dieksploitasi aktif.
Berdasarkan Binding Operational Directive (BOD) 22-01, seluruh Federal Civilian Executive Branch (FCEB) — seperti:
- Departemen Keamanan Dalam Negeri (DHS)
- Departemen Energi (DOE)
- Departemen Keuangan (Treasury)
- Departemen Kesehatan dan Layanan Kemanusiaan (HHS)
harus menambal sistem mereka paling lambat 20 November 2025.
Meskipun perintah ini hanya berlaku bagi lembaga federal, CISA juga menyerukan semua organisasi, termasuk sektor swasta, untuk segera menerapkan pembaruan keamanan dari Broadcom.
“Kerentanan seperti ini sering menjadi vektor serangan utama dan membawa risiko besar bagi lingkungan federal,” tegas CISA dalam pernyataannya.
🕵️♂️ Eksploitasi oleh Peretas China UNC5174
Kerentanan ini pertama kali dilaporkan oleh Maxime Thiebaut dari perusahaan keamanan siber Eropa NVISO, yang menemukan bahwa kelompok peretas China UNC5174 telah mengeksploitasinya sejak Oktober 2024.
UNC5174 dikenal sebagai kontraktor siber untuk Kementerian Keamanan Negara (MSS) China, dan memiliki sejarah panjang mengeksploitasi kerentanan zero-day, termasuk:
- F5 BIG-IP RCE (CVE-2023-46747) – digunakan untuk menyerang kontraktor pertahanan AS dan pemerintah Inggris.
- ConnectWise ScreenConnect (CVE-2024-1709) – menyebabkan kebocoran ratusan institusi di AS dan Kanada.
- SAP NetWeaver File Upload flaw (CVE-2025-31324) – digunakan untuk menguasai server enterprise secara jarak jauh.
Broadcom mengonfirmasi bahwa eksploitasi CVE-2025-41244 masih aktif di lapangan hingga kini.
🧰 Riwayat Patch VMware Tahun Ini
Sejak awal 2025, Broadcom telah memperbaiki tiga bug zero-day VMware lainnya:
- CVE-2025-22224
- CVE-2025-22225
- CVE-2025-22226
Selain itu, dua celah serius di VMware NSX (CVE-2025-41251 dan CVE-2025-41252) juga telah diperbaiki setelah dilaporkan oleh NSA (National Security Agency).
⚙️ Rekomendasi CISA
- Segera instal patch resmi dari Broadcom untuk VMware Tools & Aria Operations.
- Nonaktifkan SDMP jika tidak digunakan.
- Terapkan mitigasi keamanan sesuai panduan vendor.
- Audit VM dan log akses untuk mendeteksi aktivitas mencurigakan.
- Jika tidak dapat menerapkan mitigasi, hentikan penggunaan produk sementara.
🧩 Kesimpulan
CISA menegaskan bahwa ancaman ini merupakan bagian dari kampanye spionase siber berskala besar yang menargetkan infrastruktur cloud dan virtualisasi pemerintah AS.
Dengan eksploitasi aktif yang dilakukan oleh aktor negara, penambalan cepat menjadi langkah wajib untuk mencegah eskalasi serangan di lingkungan virtual dan cloud hybrid.
Sumber: CISA, Broadcom, NVISO, Google Mandiant, NSA