Badan Keamanan Siber dan Infrastruktur AS (CISA) pada Rabu (4/2/2026) memperbarui Katalog Kerentanan yang Dieksploitasi (Known Exploited Vulnerabilities - KEV) dengan status kritis. CISA secara resmi mengonfirmasi bahwa kerentanan CVE-2025-22225 pada VMware ESXi kini aktif digunakan dalam kampanye serangan ransomware.

Langkah ini memvalidasi kecurigaan lama komunitas keamanan bahwa celah arbitrary write (penulisan sewenang-wenang) ini bukan sekadar bug teoretis, melainkan pintu masuk utama bagi operator pemerasan digital untuk melumpuhkan infrastruktur virtualisasi perusahaan.

Meskipun Broadcom (induk VMware) telah merilis perbaikan untuk CVE-2025-22225, CVE-2025-22224 (Heap Overflow), dan CVE-2025-22226 (Information Disclosure) pada Maret 2025, lanskap ancaman ternyata jauh lebih gelap dari yang diperkirakan.

Baca Juga: Ilusi Keamanan Kata Sandi: Mengapa Mengubah "Summer2023!" menjadi "Summer2024!" Adalah Celah Fatal

Pada Januari 2026, peneliti dari Huntress menemukan bukti keberadaan sebuah "Exploit Toolkit" canggih yang menggabungkan ketiga kerentanan tersebut menjadi satu rantai serangan mematikan:

1. HGFS Exploitation: Menggunakan Host-Guest File System untuk membocorkan informasi memori (CVE-2025-22226).
2. VMCI Manipulation: Memanfaatkan Virtual Machine Communication Interface untuk merusak memori (heap overflow - CVE-2025-22224).
3. Kernel Escape: Mengeksekusi shellcode yang memungkinkan penyerang keluar dari isolasi VM dan mengambil alih kernel hypervisor ESXi (CVE-2025-22225).

Yang mengejutkan, analisis Huntress menunjukkan bahwa toolkit ini kemungkinan besar dikembangkan oleh peretas berbahasa Mandarin sejak awal 2024—lebih dari setahun sebelum VMware menyadari dan menambal celah tersebut. Ini berarti infrastruktur global telah terekspos serangan Zero-Day dalam waktu yang sangat lama.

Komunitas keamanan menyoroti kelambatan CISA dalam melabeli kerentanan ini. Meskipun laporan publik sudah lama mengindikasikan ketiga celah tersebut dipakai ransomware, CISA baru menandai CVE-2025-22225 sekarang, sementara dua CVE lainnya masih berstatus "Unknown" untuk penggunaan ransomware.

Keterlambatan ini berbahaya karena banyak tim keamanan korporat (Sektor Swasta) menggunakan bendera "Known Ransomware Use" di katalog KEV sebagai pemicu prioritas patching. Glenn Thorpe dari GreyNoise menyebut ketergantungan ini sebagai "indikator yang tertinggal" (trailing indicator), yang bisa berakibat fatal jika perusahaan menunggu konfirmasi resmi sebelum bertindak.

Kasus VMware ESXi ini mengajarkan satu pelajaran krusial: Hypervisor adalah Target Bernilai Tinggi (HVT). Jika penyerang menguasai ESXi, mereka menguasai seluruh server virtual di dalamnya. Enkripsi tidak lagi dilakukan per-file di dalam OS Windows, melainkan langsung pada level disk virtual (.vmdk), membuat pemulihan menjadi sangat sulit dan mahal.