Isten nem ver bottal, csak VMware: aktívan kihasznált Zero-Day sebezhetőségek

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A Broadcom nemrégiben publikált javításcsomagban hat kritikus és magas kockázatú sebezhetőséget javított a VMware által használt komponensekben. Különös figyelmet kapott ezek közül a CVE-2025-41244, amelyet már 2024 októberétől aktívan kihasznált a kínai állam által szponzorált UNC5174 csoport. A CVE-2025-41244 egy local privilege escalation hibát takar, amely a VMware Tools vagy az Aria Operations komponenseken keresztül használható ki. Az alapfeltevés az, hogy egy nem adminisztrátori jogosultságú felhasználó, aki virtuális gépet futtat, és aki telepített VMware Tools-zal rendelkezik, megkerülheti a jogosultsági korlátokat és root (vagy szuperfelhasználói) jogosultságot szerezhet ugyanazon a VM-en belül.

A Broadcom ezt a hibát az „Important” (fontos) besorolással látta el, és a CVSS v3 értékét 7,8-ra becsülte. Ez azt jelenti, hogy bár nem feltétlenül kritikus szintű (azaz nem 9,0–10,0 közötti), mégis jelentős veszélyt jelent egy megfelelő támadási láncban.

Érdekesség, hogy a cikk szerint nehéz megállapítani, hogy az exploit részét képezte-e az UNC5174 ismert arzenáljának, vagy pusztán „véletlenül” eszközölték, mivel a hiba viszonylag egyszerűen kihasználható volt.

A hibát tartalmazó és frissítéseket igénylő VMware termékverziók a következők:

  • VMware Cloud Foundation (4.x, 5.x, 9.x.x, 13.x.x – Windows és Linux)
  • VMware vSphere Foundation 9.x.x, 13.x.x (Windows, Linux)
  • VMware Aria Operations 8.x
  • VMware Tools verziók 11.x.x, 12.x.x, 13.x.x (Windows és Linux)
  • VMware Telco Cloud Platform 4.x, 5.x
  • VMware Telco Cloud Infrastructure 2.x, 3.x

Az UNC5174 (egy Kínához köthető támadócsoport) korábban is ismert volt kezdeti behatolásra szolgáló támadások miatt, gyakran nyilvános exploitok vagy ismert sebezhetőségek kiaknázása révén. Az NVISO riportja szerint legalább 2024 októberétől használják aktívan ezt a zero-day hibát.

Ez az eset rávilágít arra is, hogy még ha egy sérülékenység nem is kritikus besorolású, a támadók – különösen azok, akik állami támogatást élveznek – hajlamosak gyorsan adaptálni és bevetni azt komplex támadási láncokban.

(forrás, forrás)