Pada tanggal 17 September 2024, Broadcom merilis VMware Security Advisory (VMSA) penting, Peringatan Keamanan VMSA-2024-0019, yang membahas kerentanan keamanan yang ditemukan dan diatasi di VMware vCenter, yang terdapat dalam produk VMware vSphere dan VMware Cloud Foundation.
VMSA akan selalu menjadi sumber kebenaran untuk produk & versi apa yang terpengaruh dan patch yang tepat untuk menjaga keamanan organisasi Anda. Dokumen ini merupakan pelengkap dari advisori dan berisi informasi layanan mandiri untuk membantu Anda dan organisasi Anda memutuskan cara menanggapinya.
Kerentanan ini adalah masalah manajemen memori dan kerusakan yang dapat digunakan terhadap layanan VMware vCenter, yang berpotensi memungkinkan eksekusi kode jarak jauh.
Anda akan terpengaruh jika menjalankan versi vSphere atau VMware Cloud Foundation sebelum versi yang tercantum dalam VMSA. Silakan konsultasikan dengan VMSA itu sendiri untuk mendapatkan daftar definitif versi yang terpengaruh. Jika Anda memiliki pertanyaan tentang apakah Anda terpengaruh, kemungkinan besar Anda terpengaruh, dan harus segera mengambil tindakan.
Pembaruan Saat Ini
Diperbarui pukul 09.00 PDT (-07.00) tanggal 17 September 2024.
Pembaruan yang Diharapkan Berikutnya
Tidak ada jadwal pembaruan rutin untuk dokumen ini; akan diperbarui sesuai kebutuhan.
Pertanyaan & Jawaban
Siapa yang terdampak oleh hal ini?
Kerentanan ini memengaruhi pelanggan yang telah menggunakan VMware vCenter. Pengguna VMware vSphere atau VMware Cloud Foundation yang menjalankan versi yang lebih lama dari versi tetap yang tercantum dalam VMSA rentan terhadap kerentanan ini.
Untuk daftar pasti versi yang terpengaruh, silakan lihat langsung VMSA. Jika ada ketidakpastian tentang apakah suatu sistem terpengaruh, sistem tersebut harus dianggap rentan, dan tindakan segera harus diambil.
Kapan saya perlu bertindak?
Masalah-masalah ini akan dianggap sebagai perubahan darurat menurut metodologi ITIL, yang memerlukan tindakan cepat dari organisasi Anda. Namun, waktu respons spesifik bergantung pada situasi unik Anda. Sebaiknya segera konsultasikan dengan staf keamanan informasi organisasi Anda. Mereka akan menilai situasi dan menentukan tindakan yang paling tepat untuk konteks organisasi spesifik Anda.
Apa yang harus saya lakukan untuk melindungi diri saya?
Untuk memastikan perlindungan penuh bagi Anda dan organisasi Anda, instal salah satu versi pembaruan yang tercantum dalam VMware Security Advisory.
Sementara mitigasi lain mungkin tersedia tergantung pada postur keamanan organisasi Anda, strategi pertahanan mendalam, dan konfigurasi firewall, setiap organisasi harus mengevaluasi kecukupan perlindungan ini secara independen.
Metode yang paling dapat diandalkan untuk mengatasi kerentanan ini adalah dengan menerapkan patch yang direkomendasikan.
Produk apa yang terpengaruh?
VMware vCenter dan produk apa pun yang berisi vCenter, termasuk VMware vSphere dan VMware Cloud Foundation.
Angka CVE apa yang terlibat dalam pengungkapan ini?
CVE-2024-38812 dan CVE-2024-38813.
Seberapa parah kerentanannya?
9.8 dan 7.5, dinilai menggunakan versi 3.1 dari Common Vulnerability Scoring Standard (CVSS).
Apakah ada rincian tambahan tentang vektor kerentanan?
VMware Security Advisories terhubung ke kalkulator FIRST CVSS v3.1, dengan vektor yang telah diisi sebelumnya untuk kerentanan individual. Informasi ini ditemukan di bagian ‘Referensi’ dari advisori tersebut.
Apakah kerentanan tersebut dieksploitasi “di alam liar?”
Broadcom saat ini tidak menyadari adanya eksploitasi “di alam liar”. Jika hal itu berubah, maka saran dan dokumen ini akan diperbarui. Silakan berlangganan milis VMSA (tautan di atas) untuk mendapatkan peringatan proaktif.
Apakah saya harus memperbarui VMware vCenter?
Ya; vCenter dipengaruhi oleh VMSA ini.
Apakah saya harus memperbarui VMware ESXi?
Tidak; ESXi tidak terpengaruh oleh VMSA ini.
Apakah saya harus memperbarui SDDC Manager?
Tidak; SDDC Manager tidak terpengaruh oleh VMSA ini.
Apakah saya harus memperbarui komponen VMware Cloud Foundation Operations atau Automation?
Tidak; komponen ini tidak terpengaruh oleh VMSA ini.
Apakah saya harus memperbarui VMware NSX?
Tidak; NSX tidak terpengaruh oleh VMSA ini.
Apakah akan ada patch untuk VMware Cloud Foundation?
Ya, ada patch asynchronous untuk VMware Cloud Foundation 4.x dan 5.x. Harap ikuti petunjuk yang tercantum dalam VMSA itu sendiri.
Ada komitmen yang dibuat untuk menyediakan patch penting bagi pelanggan vSphere dengan lisensi permanen. Bagaimana cara mengunduh patch tersebut?
Pada tanggal 15 April 2024, Broadcom mengumumkan melalui posting blog bahwa semua pelanggan, termasuk mereka yang kontrak dukungannya telah berakhir, akan memiliki akses ke semua patch untuk Critical Severity Security Alerts untuk versi VMware vSphere yang didukung.
Patch ini tersedia di support.broadcom.com. Anda perlu membuat akun, yang dapat dilakukan dalam beberapa menit dan tanpa biaya.
- Masuk dan pilih “VMware Cloud Foundation” dari menu drop-down di dekat kanan atas.
- Pilih “Unduhan Saya” dari menu di sebelah kiri.
- Pilih “VMware vSphere” sebagai produk (halaman dua dari daftar).
- Pilih tab “Solusi”.
- Pilih edisi dan versi vSphere.
Apakah ada solusi untuk kerentanan ini?
Tidak termasuk dalam saran ini. Mungkin ada mitigasi dan kontrol kompensasi lain yang tersedia di organisasi Anda, tergantung pada postur keamanan, strategi pertahanan berlapis, dan konfigurasi firewall perimeter dan firewall peralatan. Semua organisasi harus memutuskan sendiri apakah akan mengandalkan perlindungan tersebut; VMware Global Support (GS) tidak dapat memutuskan apa yang tepat untuk organisasi Anda.
Untuk bantuan yang disesuaikan dengan lingkungan dan organisasi Anda, hubungi tim akun Anda tentang Layanan Profesional VMware.
Jika saya tidak menggunakan Enhanced Linked Mode, apakah saya aman?
Tidak; masalah dalam VMSA ini bukan disebabkan oleh penggunaan Enhanced Linked Mode (ELM), melainkan masalah pada vCenter itu sendiri, dan tetap ada meskipun ELM tidak digunakan. Meskipun Anda tidak menggunakan ELM, Anda perlu memperbarui atau mengambil langkah-langkah untuk mengurangi masalah tersebut.
Jika saya tidak menggunakan Autentikasi Windows Terpadu, apakah saya aman?
Tidak; masalah dalam VMSA ini bukan disebabkan oleh penggunaan Integrated Windows Authentication (IWA), melainkan masalah dengan vCenter itu sendiri, dan tetap ada meskipun IWA tidak digunakan. Meskipun Anda tidak menggunakan IWA, Anda perlu memperbarui atau mengambil langkah-langkah untuk mengurangi masalah tersebut.
Versi atau build apa yang terpengaruh oleh masalah ini?
Anda akan terpengaruh jika menjalankan versi vCenter apa pun sebelum versi tetap yang tercantum dalam VMSA. Silakan konsultasikan dengan VMSA itu sendiri untuk mendapatkan daftar definitif versi yang terpengaruh. Jika Anda memiliki pertanyaan tentang apakah Anda terpengaruh, kemungkinan besar Anda terpengaruh, dan harus segera mengambil tindakan.
Broadcom selalu menyarankan penerapan pembaruan terkini pada semua produk perangkat lunak.
Bagaimana cara memeriksa nomor build atau versi VMware vCenter?
Informasi pembuatan tersedia di tab Ringkasan pada Klien vSphere. Informasi tersebut juga dapat ditanyakan dengan PowerCLI. Setelah terhubung menggunakan Connect-VIServer, informasi pembuatan tersedia di variabel $global:DefaultVIServer.Build (juga terdapat $global:DefaultVIServer.Version).
Jika saya memperbarui vCenter apakah akan memengaruhi beban kerja yang sedang berjalan?
Tidak. vCenter adalah antarmuka manajemen untuk kluster vSphere. Anda akan kehilangan penggunaan vSphere Client untuk sementara waktu selama pembaruan, dan metode manajemen lainnya akan terpengaruh secara serupa, tetapi beban kerja mesin virtual dan kontainer tidak akan terpengaruh.
Dapatkah saya menggunakan vCenter VAMI untuk menerapkan pembaruan ini?
Ya, patch akan tersedia melalui mekanisme pembaruan standar untuk VMware vSphere dan VMware Cloud Foundation. Lihat dokumentasi produk untuk mengetahui versi produk yang Anda gunakan.
Apakah ini berdampak pada VMware vSphere 6.5 atau 6.7?
Produk yang telah melewati tanggal Akhir Dukungan Umum tidak dievaluasi sebagai bagian dari saran keamanan. Jika organisasi Anda telah memperpanjang dukungan, gunakan proses tersebut untuk meminta bantuan.
Apakah saya harus memperbarui ke vCenter 8.0.3 untuk menerima patch ini?
Awalnya, ya. Menerapkan patch yang tercantum dalam VMSA ini akan membawa Anda ke vCenter 8.0.3.
Ada patch yang tertunda untuk instalasi dengan VMware vCenter 8.0.2.
vSphere 8 Update 3 dianggap sebagai versi terbaik dari vSphere 8 dan ditujukan untuk stabilitas dan dukungan jangka panjang. Semua pembaruan keamanan baru dibangun di atas vSphere 8 Update 3.
Apakah saya harus memperbarui ke vCenter 7.0.3 untuk menerima patch ini?
Ya. vSphere 7 Pembaruan 3 dirilis pada Januari 2022 dan dianggap sebagai versi terbaik vSphere 7, yang ditujukan untuk stabilitas dan dukungan jangka panjang.
Saya menggunakan solusi pihak ketiga seperti HPE SimpliVity, Dell EMC VxRail, dan sebagainya. Apakah aman bagi saya untuk menerapkan pembaruan tersebut?
Sistem rekayasa pihak ketiga mengontrol tingkat dan konfigurasi patch mereka sebagai bagian dari proses kualifikasi dan pengujian mereka. Menggunakan panduan keamanan yang tidak secara eksplisit ditujukan untuk produk dan versi produk tersebut tidak disarankan. Jika Anda menggunakan solusi rekayasa dan terintegrasi, silakan hubungi vendor tersebut secara langsung untuk mendapatkan panduan. Broadcom tidak terlibat dalam, dan tidak dapat berbicara mengenai, jadwal rilis produk pihak ketiga.
Apakah VMware Cloud dan produk yang dihosting diperbarui?
Informasi VMSA dikirimkan sebagai pesan di dalam produk yang dihosting, cloud, dan perangkat lunak sebagai layanan jika berlaku. Silakan periksa konsol administratif layanan tersebut untuk pesan dan detail lebih lanjut yang relevan tentang VMSA ini.
Pertanyaan tambahan tentang layanan ini harus dijawab melalui proses dukungan untuk layanan tersebut. Terima kasih.
Catatan Perubahan
2024-09-17, 0900 PDT (-0700): Publikasi awal.
Penafian
Dokumen ini ditujukan untuk memberikan panduan umum bagi organisasi yang mempertimbangkan solusi Broadcom. Informasi yang terkandung dalam dokumen ini hanya untuk tujuan edukasi dan informasi. Dokumen ini tidak ditujukan untuk memberikan saran dan diberikan “SEBAGAIMANA ADANYA.” Broadcom tidak membuat klaim, janji, atau jaminan tentang keakuratan, kelengkapan, atau kecukupan informasi yang terkandung di sini. Organisasi harus melibatkan keahlian hukum, bisnis, teknis, dan audit yang sesuai dalam organisasi spesifik mereka untuk meninjau persyaratan dan efektivitas implementasi.
(sumber : VMWare)
