Una falla de seguridad recién parchada que impacta las herramientas de Broadcom VMware y las operaciones de VMware Aria han sido explotadas en la naturaleza como un día cero desde mediados de octubre de 2024 por un actor de amenaza llamado UNC5174, según NVISO Labs.
La vulnerabilidad en cuestión es CVE-2025-41244 (Puntuación CVSS: 7.8), un error de escalada de privilegios locales que afecta las siguientes versiones –
- VMware Cloud Foundation 4.x y 5.x
- VMware Cloud Foundation 9.xxx
- VMware Cloud Foundation 13.xxx (Windows, Linux)
- VMware vSphere Foundation 9.xxx
- VMware vSphere Foundation 13.xxx (Windows, Linux)
- VMware Aria Operaciones 8.x
- VMware Tools 11.xx, 12.xx y 13.xx (Windows, Linux)
- VMware Telco Cloud Platform 4.x y 5.x
- VMware Telco Cloud Infraestructura 2.x y 3.x
«Un actor local malicioso con privilegios no administrativos que tienen acceso a una VM con herramientas de VMware instaladas y administradas por operaciones de ARIA con SDMP habilitado pueden explotar esta vulnerabilidad a los privilegios intensos para rootear en la misma VM», VMware «, VMware», dicho en un aviso publicado el lunes.
El hecho de que sea una escalada de privilegio local significa que el adversario tendrá que asegurar el acceso al dispositivo infectado a través de otros medios.
El investigador de NVISO, Maxime Thiebaut, ha sido acreditado por descubrir e informar la deficiencia el 19 de mayo de 2025, durante un compromiso de respuesta a incidentes. La compañía también dijo que VMware Tools 12.4.9, que forma parte de VMware Tools 12.5.4, remedia el problema para los sistemas de Windows de 32 bits, y que los vendedores Linux distribuirán una versión de las herramientas de VM abiertas que aborde CVE-2025-41244.
 |
| La función vulnerable get_version () |
Si bien Broadcom no menciona que sea explotado en ataques del mundo real, NVISO Labs atribuyó la actividad a un actor de amenaza vinculado a China, Google Mandiant pistas como UNC5174 (también conocido como Uteus o Uetus), que tiene un rastro de explotar Varios defectos de seguridadincluidos aquellos que afectan a Ivanti y SAP Netweaver, para obtener acceso inicial a entornos de destino.
«Cuando tiene éxito, la explotación de la escalada de privilegios locales da como resultado usuarios no privilegiados que logran la ejecución del código en contextos privilegiados (por ejemplo, raíz)», dijo Thiebaut. «Sin embargo, no podemos evaluar si esta exploit era parte de las capacidades de UNC5174 o si el uso del día cero fue meramente accidental debido a su trivialidad».
NVISO dijo que la vulnerabilidad está enraizada en una función llamada «get_version ()» que toma un patrón de expresión regular (regex) como entrada para cada proceso con un enchufe de escucha, verifica si el binario asociado con ese proceso coincide con el patrón y, si es así, invoca el comando de versión del servicio compatible.
«Si bien esta funcionalidad funciona como se esperaba para los binarios del sistema (por ejemplo,/usr/bin/httpd), el uso de las clases de caracteres \ s de ampliación (caracteres no whitespace coincidentes) en varios de los patrones de regex también coincide con los binarios no del sistema (EG,/TMP/HTTPD)», explicó el thiebaut. «Estos binarios que no son del sistema se encuentran dentro de los directorios (por ejemplo, /TMP) que son escritos para usuarios sin privilegios por diseño».
Como resultado, esto abre la puerta al posible abuso por parte de un atacante local no privilegiado al organizar el binario malicioso en «/TMP/HTTPD», lo que resulta en una escalada de privilegios cuando se ejecuta el servicio de recolección de métricas VMware. Todo lo que un mal actor requiere abusar de la falla es asegurarse de que el binario sea ejecutado por un usuario no privilegiado y abre una toma de escucha aleatoria.
La compañía de seguridad cibernética con sede en Bruselas señaló que observó UNC5174 utilizando la ubicación «/TMP/HTTPD» para organizar el binario malicioso y generar un shell raíz elevado y lograr la ejecución del código. La naturaleza exacta de la carga útil ejecutada usando este método no está clara en esta etapa.
Cuando se contactó para hacer comentarios, NVISO Labs le dijo a The Hacker News que ha optado por no compartir ningún detalle adicional sobre la carga útil que se ejecuta después de la explotación de CVE-2025-41244 por ahora.
«La práctica amplia de imitar los binarios del sistema (por ejemplo, HTTPD) destaca la posibilidad real de que varias otras cepas de malware se hayan beneficiado accidentalmente de las escaladas de privilegios no deseadas durante años», dijo Thiebaut.
(La historia se actualizó después de la publicación para incluir una respuesta de NVISO Labs).
Fuente