Los defectos de seguridad recién parchados que afectan las herramientas de Broadcom VMware y las operaciones de vMware Aria se han explotado como días cero en la naturaleza, como cero días desde mediados de octubre de 2024, y desde mediados de octubre de 2024, fallas de seguridad recién parchadas que afectan las herramientas de VMware de Broadcom y las operaciones de ARIA de VMware, según NVISO Labs.
La vulnerabilidad en cuestión es CVE-2025-41244 (puntaje CVSS: 7.8), un error de escalada de privilegio local que afecta las siguientes versiones-
VMware Cloud Foundation 4.x y 5.x VMware Cloud Foundation 9.xxx VMware Cloud Foundation 13.xxx (Windows, Linux) VMware vSphere Foundation 9.xxx VSphere Foundation 13.xxx (Windows, Linux) VMware Aria Operations 8.x VMware Herramientas 11.xx, 12.xx y 13.xx (dinC), Dinx (Denx), Denx (Denx) Infraestructura 2.x y 3.x
«Los actores locales maliciosos con privilegios de falta de administración que pueden acceder a una VM que usan herramientas VMware pueden permitir que SDMP sea instalado y administrado por operaciones de ARIA. Esta vulnerabilidad puede explotarse para aumentar los privilegios de enraizarse con la misma VM».
El hecho de que sea una escalada de privilegio local significa que el enemigo debe garantizar el acceso a dispositivos infectados a través de otros medios.
El investigador de NVISO, Maxime Thiebaut, ha sido reconocido por descubrir e informar las deficiencias durante la participación de la respuesta a los incidentes el 19 de mayo de 2025. La compañía también establece que VMware Tools 12.4.9, parte de VMware Tools 12.5.4, corregirá los problemas con los sistemas de 32 bits de 32 bits y las versiones de VM abiertas de las herramientas de VM abiertas que abordan CVE-2025-41244 estarán distribuidas por los recipientes Linux de 32 bits.
Función vulnerable get_version ()
Broadcom no menciona que se está explotando en ataques reales, pero NVISO Labs atribuye la actividad al actor de amenaza Google Mandiant Track vinculada a China.
«Si tiene éxito, la explotación de la escalada de privilegios locales dará como resultado usuarios no privilegiados para lograr la ejecución del código en contextos privilegiados (como root)», dice Thiebaut. «Sin embargo, no podemos evaluar si esta exploit era parte de las capacidades de UNC5174, o si el uso de días cero fue una coincidencia debido a su trivialidad».
NVISO dice que la vulnerabilidad se basa en una función llamada «get_version ()», que utiliza un enchufe de audición para recuperar un patrón de expresión regular (regex) como entrada para cada proceso, verificando si el binario asociado con ese proceso coincide con el patrón, y de ser así, invoca el comando de la versión para un servicio compatible.
«Esta característica funciona como se esperaba con los binarios del sistema (como/usr/bin/httpd), pero también coincide con el uso extenso de clases de caracteres (caracteres no blancos coincidentes) en algunos patrones regex (por ejemplo,/tmp/httpd)». «Estos binarios que no son del sistema se encuentran en directorios que se pueden escribir a los usuarios que no son elogiados en su diseño (por ejemplo, /TMP)».
Como resultado, esto abre la puerta al posible abuso por parte de posibles atacantes locales al organizar binarios maliciosos en «/TMP/HTTPD», y la escalada de privilegios ocurre cuando se ejecuta el servicio de recolección de métricas VMware. Lo que los malos actores necesitan para explotar la falla es asegurarse de que el binario sea ejecutado por un usuario no privilegiado y abre un enchufe de escucha aleatoria.
La compañía de seguridad cibernética con sede en Bruselas observó utilizando la ubicación «/TMP/HTTPD» para organizar binarios maliciosos, y observó que aumentó el caparazón de la raíz para lograr la ejecución del código. La naturaleza exacta de la carga útil realizada utilizando este método es desconocida en esta etapa.
«La práctica amplia de imitar los binarios del sistema (por ejemplo, HTTPD) destaca la posibilidad real de que varias otras acciones de malware se hayan beneficiado erróneamente de las escaladas de privilegios no deseadas durante años».
Source link
