CISA Peringatkan Celah Kritis VMware vCenter Aktif Dieksploitasi

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengonfirmasi bahwa sebuah celah keamanan kritis pada VMware vCenter Server kini tengah dieksploitasi secara aktif di dunia nyata. Menyusul temuan tersebut, CISA memerintahkan seluruh instansi federal sipil Amerika Serikat untuk segera mengamankan sistem yang terdampak dalam waktu tiga minggu.

Kerentanan yang dimaksud tercatat sebagai CVE-2024-37079 dan pertama kali ditambal pada Juni 2024. Celah ini bersumber dari kelemahan heap overflow pada implementasi protokol DCERPC di vCenter Server, platform manajemen VMware vSphere yang digunakan untuk mengelola host ESXi dan mesin virtual.

Penyerang yang memiliki akses jaringan ke vCenter Server dapat mengeksploitasi kerentanan ini dengan mengirimkan paket jaringan yang dirancang khusus. Serangan tersebut memungkinkan eksekusi kode jarak jauh dengan tingkat kompleksitas rendah, tanpa memerlukan autentikasi, hak istimewa khusus, maupun interaksi pengguna pada sistem target.

Tidak seperti beberapa kerentanan lain, CVE-2024-37079 tidak memiliki solusi mitigasi atau workaround. Karena itu, vendor menegaskan bahwa satu-satunya langkah pengamanan yang tersedia adalah menerapkan pembaruan keamanan ke versi terbaru vCenter Server dan VMware Cloud Foundation secepat mungkin.

CISA secara resmi menambahkan celah ini ke dalam katalog Known Exploited Vulnerabilities (KEV), yang menandakan adanya bukti eksploitasi aktif. Berdasarkan ketentuan Binding Operational Directive (BOD) 22-01, seluruh lembaga Federal Civilian Executive Branch diwajibkan menutup celah ini paling lambat 13 Februari 2026. Kelompok instansi tersebut mencakup berbagai lembaga eksekutif non-militer, termasuk kementerian dan departemen strategis pemerintah Amerika Serikat.

Dalam peringatannya, CISA menekankan bahwa jenis kerentanan seperti ini merupakan vektor serangan yang sangat umum dimanfaatkan aktor siber berbahaya dan berpotensi menimbulkan risiko besar bagi lingkungan enterprise. Jika mitigasi tidak tersedia, instansi diminta menghentikan penggunaan produk yang terdampak hingga sistem berhasil diamankan.

Vendor VMware juga mengonfirmasi bahwa mereka memiliki informasi yang mengindikasikan CVE-2024-37079 telah dimanfaatkan secara aktif. Pernyataan ini memperkuat urgensi bagi organisasi, tidak hanya di sektor pemerintahan tetapi juga perusahaan swasta, untuk segera memastikan seluruh sistem vCenter mereka telah diperbarui.

Insiden ini menambah daftar panjang kerentanan VMware yang menjadi target eksploitasi dalam beberapa tahun terakhir. Sebelumnya, sejumlah celah lain pada ekosistem VMware juga diketahui dimanfaatkan dalam serangan nyata, termasuk kerentanan pada solusi manajemen dan jaringan virtual.

Dengan semakin seringnya platform virtualisasi menjadi sasaran, organisasi disarankan untuk memperketat pemantauan keamanan, membatasi eksposur jaringan vCenter, serta memastikan proses patch management berjalan disiplin. Keterlambatan dalam menerapkan pembaruan pada komponen infrastruktur inti seperti vCenter Server dapat membuka pintu bagi kompromi skala besar di lingkungan virtual.