La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad de alta gravedad que afecta a Broadcom VMware Tools y VMware Aria Operations a su catálogo de vulnerabilidades explotadas conocidas (KEV) después de recibir informes de que estaba siendo explotada en la naturaleza.
La vulnerabilidad en cuestión, CVE-2025-41244 (puntuación CVSS: 7,8), podría ser aprovechada por un atacante para obtener privilegios de nivel raíz en un sistema afectado.
«Broadcom VMware Aria Operations y VMware Tools contienen privilegios con vulnerabilidades de acciones inseguras definidas», dijo CISA en la alerta. «Un atacante local malicioso con privilegios no administrativos que tenga acceso a una máquina virtual con VMware Tools instalada y administrada por Aria Operations que tenga SDMP habilitado podría aprovechar esta vulnerabilidad para escalar privilegios a root en la misma máquina virtual».
La vulnerabilidad fue abordada por VMware de Broadcom el mes pasado, pero no se había abordado desde mediados de octubre de 2024 antes de ser explotada como día cero por un atacante desconocido, según NVISO Labs. La firma de ciberseguridad dijo que descubrió la vulnerabilidad durante una operación de respuesta a incidentes a principios de mayo de este año.
Se cree que esta actividad es obra de un actor de amenazas vinculado a China, rastreado por Google Mandiant como UNC5174, y NVISO Labs describe la falla como fácil de explotar. Los detalles sobre la carga útil exacta ejecutada después de que CVE-2025-41244 fuera armado están actualmente pendientes.
«Un exploit de escalada de privilegios local exitoso podría resultar en que un usuario sin privilegios ejecute código en un contexto privilegiado (como root)», dijo el investigador de seguridad Maxime Thiebaut. «Sin embargo, no podemos evaluar si este exploit era parte de la funcionalidad de UNC5174 o si el uso del día cero se hizo simplemente por casualidad debido a su trivialidad».
El catálogo KEV también contiene una vulnerabilidad crítica de inyección de evaluación de XWiki. Esta vulnerabilidad podría permitir a los usuarios invitados ejecutar código remoto arbitrario a través de una solicitud especialmente diseñada al punto final ‘/bin/get/Main/SolrSearch’. A principios de esta semana, VulnCheck reveló que había observado intentos de atacantes desconocidos de explotar esta falla para distribuir mineros de criptomonedas.
Las agencias del poder ejecutivo civil federal (FCEB) deben aplicar las mitigaciones necesarias antes del 20 de noviembre de 2025 para proteger sus redes de amenazas activas.
Source link
