吳明宜博通近日修補了 VMWare 一個讓攻擊者提升權限執行程式碼的高風險漏洞。
編號 CVE-2025-41244 (CVSS score 7.8) 的漏洞影響 VMWare Aria Operations VMWare Tools 。 VMware 的母公司博通 (Broadcom) 本周釋出修補程式,並警告本漏洞讓攻擊者可在安裝 VMware Tools 或由啟動 SDMP 的 Aria Operations 管理的 VM 上提升權限。但是博通稍早的公告卻未透露漏洞早已遭到濫用。
通報這項漏洞的資安廠商 NVISO 相信,中國國家駭客組織 UNC5147 早在一年前就已開始濫用本漏洞。 UNC5147 最近還涉嫌攻擊資安業者 SentinelOne 。但 NVISO 還未釐清,駭客是否是刻意選擇,或是隨機濫用本漏洞。
這項漏洞影響了 VMware Aria Operations 的服務和應用發現 (discovery) 功能,後者包含舊式以憑證為基礎 (credential-based) 的服務發現及新的無憑證 (credential-less) 服務發現。 NVISO 發現,兩種發現模式下都能被升級權限,分別位於 VMWare Aria Operations 與 VMware Tools 。
研究人員指出,成功濫用 CVE-2025-41244 可讓沒有權限的用戶以 root 權限執行程式。而糟的是,主要 Linux 都有的 VMware Tools 開源版本 open-vm-tools 也受影響。
NVISO 發現,UNC5174 藉由在/tmp/httpd 資料匣植入惡意二進位檔來濫用本漏洞。透過升級權限,二進位檔得以用低權限執行,並隨機開啟聽取的 socket 。
博通釋出最新版 VMware Cloud Foundation 、 vSphere Foundation 、 Aria Operations 、 Telco Cloud Platform 和 VMware Tools 來修補同,並指出 Lopen-vm-tools 修補程式將由 Linux 廠商發送。
若欲想知道 CVE-2025-41244 是否遭到濫用,企業可以搜尋是否有不尋常的子行程 (child process) 。若無工具,分析是否有異常的 metrics collector 腳本程式,以及憑證模式發現工具的偵測結果。
來源: SecurityWeek