Een nieuw gepatchte beveiligingsfout op Broadcom VMware-tools en VMware ARIA-activiteiten is sinds half oktober 2024 in het wild geëxploiteerd door een dreigingsacteur genaamd UNC5174, volgens Nviso Labs.
De kwetsbaarheid in kwestie is CVE-2025-41244 (CVSS -score: 7.8), een lokaal privilege -escalatie -bug die de volgende versies beïnvloedt –
- VMware Cloud Foundation 4.x en 5.x
- VMware Cloud Foundation 9.xxx
- VMware Cloud Foundation 13.xxx (Windows, Linux)
- VMware vSphere Foundation 9.xxx
- VMware vSphere Foundation 13.xxx (Windows, Linux)
- VMware ARIA -operaties 8.x
- VMware Tools 11.xx, 12.xx en 13.xx (Windows, Linux)
- VMware Telco Cloud Platform 4.x en 5.x
- VMware Telco Cloud Infrastructure 2.x en 3.x
“Een kwaadaardige lokale acteur met niet-administratieve privileges met toegang tot een VM met VMware-tools geïnstalleerd en beheerd door ARIA-operaties met SDMP ingeschakeld kan deze kwetsbaarheid benutten om voorrechten te escaleren om op dezelfde VM te rooten,” zei VMware in een advies die maandag werd vrijgegeven.
Het feit dat het een escalatie van lokaal privileges is, betekent dat de tegenstander via een andere manier de toegang tot het geïnfecteerde apparaat moet beveiligen.
NVISO -onderzoeker Maxime Thiebaut is gecrediteerd voor het ontdekken en rapporteren van de tekortkoming op 19 mei 2025, tijdens een betrokkenheid van incidentrespons. Het bedrijf zei ook dat VMware Tools 12.4.9, dat deel uitmaakt van VMware Tools 12.5.4, het probleem voor Windows 32-bit-systemen verhelpt, en dat een versie van Open-VM-Tools die CVE-2025-41244 aanpakt door Linux-leveranciers.
Terwijl Broadcom geen melding maakt dat het wordt geëxploiteerd in real-world aanvallen, schreef NVISO-laboratoria de activiteit toe aan een China-gekoppelde dreigingsacteur Google Mandiant Tracks als UNC5174 (aka uteus of UETUS), dat een track record heeft van het exploiteren van verschillende beveiligingsfabels, inclusief die van invloed zijn op IVANTI en SAP NETWEAVER, om de initiële toegang tot doelomgevingen te verkrijgen.
“Indien succesvol, exploitatie van de escalatie van de lokale privileges resulteert in onbevoegde gebruikers die code -uitvoering bereiken in bevoorrechte contexten (bijv. Root),” zei Thiebaut. “We kunnen echter niet beoordelen of deze exploit deel uitmaakte van de mogelijkheden van UNC5174 of dat het gebruik van de zero-day slechts toevallig was vanwege zijn triviaalheid.”
Nviso zei dat de kwetsbaarheid is geworteld in een functie met de naam “get_version ()” die een reguliere expressie (regex) patroon als invoer voor elk proces met een luistergedel neemt, controleert of het binair geassocieerd met dat proces overeenkomt met het patroon, en, zo ja, roept de versie van de ondersteunde service -versie op.
“Hoewel deze functionaliteit werkt zoals verwacht voor systeembinaries (bijv./Usr/bin/httpd), komt het gebruik van de brede s karakterklasse (bijpassende niet-blanke tekens) in verschillende van de regex-patronen ook overeen met niet-system binaries (bijv./TMP/HTTPD),” Thiebaut verklaarde. “Deze niet-system binaire bestanden bevinden zich in mappen (bijv. /TMP) die door ontwerp worden beschreven voor niet-bevoorrechte gebruikers.”
Als gevolg hiervan opent dit de deur naar potentieel misbruik door een onbevoegde lokale aanvaller door het kwaadwillende binaire bestand te organiseren op “/TMP/HTTPD”, wat resulteert in escalatie van privileges wanneer de VMware Metrics -verzameldienst wordt uitgevoerd. Het enige dat een slechte acteur nodig is om de fout te misbruiken, is ervoor te zorgen dat het binair wordt gerund door een onbevoegde gebruiker en het opent een willekeurig luisterend aansluiting.
Het in Brussel gevestigde cybersecuritybedrijf merkte op dat het UNC5174 waargenomen met behulp van de locatie “/tmp/httpd” om het kwaadaardige binaire bestand te organiseren en een verhoogde wortelschaal te spawnen en code-uitvoering te bereiken. De exacte aard van de lading die deze methode is uitgevoerd, is in dit stadium onduidelijk.
“De brede praktijk van het nabootsen van systeembinaries (bijv. HTTPD) benadrukt de reële mogelijkheid dat verschillende andere malware -stammen al jaren profiteren van onbedoelde escalaties van privileges,” zei Thiebaut.
