CISA: Celah VMware ESXi Kini Dieksploitasi dalam Serangan Ransomware

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengonfirmasi bahwa kelompok ransomware telah mulai mengeksploitasi kerentanan berbahaya pada VMware ESXi yang sebelumnya digunakan dalam serangan zero-day. Temuan ini menandai eskalasi risiko terhadap infrastruktur virtualisasi yang banyak dipakai di lingkungan enterprise.

Kerentanan tersebut dilacak sebagai CVE-2025-22225, sebuah kelemahan sandbox escape dengan tingkat keparahan tinggi yang memungkinkan penyerang melakukan penulisan arbitrer pada kernel. Broadcom telah menambal celah ini pada Maret 2025, bersamaan dengan dua kerentanan lain—kebocoran memori dan celah time-of-check to time-of-use—yang kala itu juga ditandai sebagai zero-day yang dieksploitasi aktif.

Detail Teknis dan Dampak

Menurut penjelasan vendor, aktor berbahaya yang memiliki hak istimewa di dalam proses VMX dapat memicu penulisan kernel arbitrer dan keluar dari sandbox mesin virtual. Tiga celah tersebut berdampak pada berbagai produk VMware, termasuk ESXi, Fusion, Cloud Foundation, vSphere, Workstation, dan Telco Cloud Platform. Dengan akses administrator atau root, penyerang dapat merangkai kerentanan ini untuk menembus isolasi mesin virtual.

Laporan riset sebelumnya menunjukkan bahwa aktor ancaman berbahasa Mandarin kemungkinan telah memanfaatkan rangkaian celah ini dalam serangan zero-day yang canggih sejak setidaknya awal 2024. Kini, CISA menegaskan bahwa CVE-2025-22225 juga digunakan dalam kampanye ransomware, meski detail teknis serangan terbaru belum diungkapkan.

Status Eksploitasi dan Tindakan CISA

CISA memasukkan CVE-2025-22225 ke dalam katalog Known Exploited Vulnerabilities pada Maret 2025 dan mewajibkan instansi pemerintah federal untuk menutup celah ini sesuai ketentuan Binding Operational Directive 22-01. Dalam pembaruan terbaru, CISA menyatakan bahwa kerentanan tersebut kini diketahui dieksploitasi oleh kelompok ransomware, mempertegas urgensi mitigasi.

Badan tersebut kembali menekankan agar organisasi menerapkan mitigasi sesuai panduan vendor, mengikuti ketentuan operasional yang berlaku untuk layanan cloud, atau menghentikan penggunaan produk bila mitigasi tidak tersedia.

Mengapa VMware Menjadi Target Utama

Produk VMware kerap menjadi sasaran karena penerapannya yang luas di pusat data enterprise dan perannya sebagai fondasi beban kerja kritis yang menyimpan data sensitif. Dalam beberapa bulan terakhir, CISA berulang kali memerintahkan penambalan terhadap berbagai celah VMware yang dieksploitasi aktif, termasuk kerentanan pada server manajemen dan alat operasional lainnya.

Tren ini menunjukkan bahwa kelompok ransomware dan aktor negara sama-sama memprioritaskan kerentanan virtualisasi untuk memperluas dampak serangan dan mempercepat eskalasi akses.

Rekomendasi Keamanan

Organisasi yang menjalankan VMware ESXi dan produk terkait disarankan segera memastikan seluruh sistem telah diperbarui ke versi yang menutup CVE-2025-22225 dan kerentanan terkait. Selain itu, pembatasan hak istimewa administratif, pemantauan aktivitas VMX, serta audit konfigurasi keamanan hypervisor menjadi langkah penting untuk mengurangi risiko eksploitasi lanjutan.

Dengan konfirmasi eksploitasi dalam kampanye ransomware, penundaan patch bukan lagi opsi. Kecepatan respons dan disiplin manajemen pembaruan kini menjadi faktor penentu dalam menjaga ketahanan lingkungan virtualisasi.