De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een zeer ernstig beveiligingslek met gevolgen voor Broadcom VMware Tools en VMware Aria Operations toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, na berichten over actieve exploitatie in het wild.
De kwetsbaarheid in kwestie is CVE-2025-41244 (CVSS-score: 7,8), die door een aanvaller kan worden uitgebuit om root-rechten op een gevoelig systeem te verkrijgen.
“Broadcom VMware Aria Operations en VMware Tools bevatten een privilege dat is gedefinieerd met een kwetsbaarheid voor onveilige acties”, aldus CISA in een waarschuwing. “Een kwaadwillende lokale actor met niet-administratieve rechten die toegang heeft tot een VM waarop VMware Tools zijn geïnstalleerd en beheerd door Aria Operations met SDMP ingeschakeld, kan dit beveiligingslek misbruiken om rechten te escaleren om op dezelfde VM te rooten.”
De kwetsbaarheid werd vorige maand aangepakt door VMware, eigendom van Broadcom, maar niet voordat het sinds medio oktober 2024 als zero-day werd uitgebuit door onbekende bedreigingsactoren, aldus NVISO Labs. Het cyberbeveiligingsbedrijf zei dat het de kwetsbaarheid eerder dit jaar ontdekte tijdens een incidentrespons.
De activiteit wordt toegeschreven aan een aan China gelieerde bedreigingsacteur die Google Mandiant volgt als UNC5174, waarbij NVISO Labs de fout omschrijft als triviaal om te exploiteren. Details over de exacte lading die is uitgevoerd na de bewapening van CVE-2025-41244 zijn momenteel achtergehouden.
“Als dit lukt, leidt de exploitatie van de lokale privilege-escalatie ertoe dat gebruikers zonder privileges code kunnen uitvoeren in geprivilegieerde contexten (bijvoorbeeld root)”, zegt beveiligingsonderzoeker Maxime Thiebaut. “We kunnen echter niet beoordelen of deze exploit deel uitmaakte van de mogelijkheden van UNC5174 of dat het gebruik van de zero-day louter toevallig was vanwege de trivialiteit ervan.”
Ook in de KEV-catalogus is een kritieke evaluatie-injectiekwetsbaarheid in XWiki geplaatst die elke gastgebruiker in staat zou kunnen stellen willekeurige externe code uit te voeren door middel van een speciaal vervaardigd verzoek aan het “/bin/get/Main/SolrSearch”-eindpunt. Eerder deze week onthulde VulnCheck dat het pogingen van onbekende bedreigingsactoren heeft waargenomen om de fout te misbruiken en een cryptocurrency-mijnwerker te leveren.
De agentschappen van de Federal Civilian Executive Branch (FCEB) zijn verplicht om uiterlijk 20 november 2025 de nodige maatregelen toe te passen om hun netwerken te beveiligen tegen actieve dreigingen.
