La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves agregado una falla de seguridad de alta gravedad que afecta a Broadcom VMware Tools y VMware Aria Operations hasta sus vulnerabilidades explotadas conocidas (KEV) catálogo, tras informes de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-41244 (puntuación CVSS: 7,8), que podría ser aprovechada por un atacante para obtener privilegios de nivel raíz en un sistema susceptible.
«Broadcom VMware Aria Operations y VMware Tools contienen un privilegio definido con vulnerabilidad de acciones inseguras», dijo CISA en una alerta. «Un actor local malicioso con privilegios no administrativos que tenga acceso a una máquina virtual con VMware Tools instalado y administrado por Aria Operations con SDMP habilitado puede explotar esta vulnerabilidad para escalar privilegios a root en la misma máquina virtual».
La vulnerabilidad fue abordada por VMware, propiedad de Broadcom, el mes pasado, pero no antes de que actores de amenazas desconocidos la explotaran como día cero desde mediados de octubre de 2024, según NVISO Labs. La compañía de ciberseguridad dijo que descubrió la vulnerabilidad a principios de mayo durante un compromiso de respuesta a incidentes.
La actividad es atribuido a un actor de amenazas vinculado a China, Google Mandiant lo rastrea como UNC5174, y NVISO Labs describe la falla como trivial de explotar. Actualmente se han retenido los detalles sobre la carga útil exacta ejecutada tras la militarización de CVE-2025-41244.
«Cuando tiene éxito, la explotación de la escalada de privilegios local da como resultado que los usuarios sin privilegios logren la ejecución de código en contextos privilegiados (por ejemplo, raíz)», dijo el investigador de seguridad Maxime Thiebaut. «Sin embargo, no podemos evaluar si este exploit era parte de las capacidades del UNC5174 o si el uso del día cero fue meramente accidental debido a su trivialidad».
También se incluye en el catálogo KEV una vulnerabilidad crítica de inyección de evaluación en XWiki que podría permitir a cualquier usuario invitado realizar una ejecución remota de código arbitrario mediante una solicitud especialmente diseñada al punto final «/bin/get/Main/SolrSearch». A principios de esta semana, VulnCheck reveló que observó intentos de actores de amenazas desconocidos para explotar la falla y entregar un minero de criptomonedas.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las mitigaciones necesarias antes del 20 de noviembre de 2025 para proteger sus redes contra amenazas activas.
Fuente