Как простая ошибка в коде VMware месяцами позволяла хакерам получать полный контроль над системами?

Уязвимость нулевого дня в продуктах VMware активно эксплуатировалась с середины октября 2024 года по май 2025 года. За атаками стояла хакерская группировка UNC5174, связанная с Китаем. Уязвимость, получившая идентификатор CVE-2025-41244, представляет собой локальное повышение привилегий, позволяя злоумышленнику с базовым доступом к виртуальной машине получить полный контроль на уровне "root".
Как простая ошибка в коде VMware месяцами позволяла хакерам получать полный контроль над системами?
Изображение носит иллюстративный характер

Ответственность за эксплуатацию несет группировка UNC5174, также известная под псевдонимами Uteus или Uetus. По данным компании Google Mandiant, которая отслеживает деятельность группы, она связана с Китаем и имеет опыт использования уязвимостей в программном обеспечении для получения первоначального доступа. Ранее UNC5174 была замечена в атаках на уязвимости в продуктах Ivanti и SAP NetWeaver.

Сама уязвимость CVE-2025-41244 имеет рейтинг опасности 7.x и 5.x по шкале CVSS. Она не позволяет получить удаленный доступ, а классифицируется как локальное повышение привилегий (LPE). Это означает, что для ее эксплуатации злоумышленник уже должен иметь первоначальный доступ к целевой виртуальной машине. Успешная атака возможна на виртуальных машинах, где установлены VMware Tools и которые управляются через Aria Operations с активированной функцией SDMP.

Технически брешь кроется в функции get_version(). В ней используется чрезмерно широкое регулярное выражение с классом символов \S, который соответствует любому непробельному символу. Это приводит к тому, что функция может ошибочно идентифицировать и выполнить вредоносный файл, размещенный злоумышленником, вместо легитимного системного файла.

Механизм атаки заключается в том, что злоумышленник размещает вредоносный исполняемый файл, например, с именем httpd, в каталоге с правом на запись, таком как /tmp. Когда процесс сбора метрик VMware запускает уязвимую функцию get_version(), она по ошибке выполняет файл /tmp/httpd с привилегиями суперпользователя вместо настоящего системного файла /usr/bin/httpd. Группировка UNC5174 использовала этот метод для получения корневой оболочки (root shell).

Уязвимость была обнаружена 19 мая 2025 года исследователем безопасности Максимом Тибо из брюссельской компании NVISO Labs в ходе реагирования на инцидент. После получения отчета компания VMware в понедельник выпустила соответствующее уведомление. Примечательно, что Broadcom, материнская компания VMware, в своем первоначальном бюллетене не упомянула факт активной эксплуатации уязвимости в реальных атаках.

Проблема затрагивает широкий спектр продуктов, включая VMware Cloud Foundation версий 9.x и 13.x, VMware vSphere Foundation версий 9.x и 13.x, VMware Aria Operations 8.x, VMware Telco Cloud Platform 4.x и 5.x, а также VMware Telco Cloud Infrastructure 2.x и 3.x. Уязвимости также подвержены VMware Tools версий 11.x, 12.x и 13.x для Windows и Linux.

Для устранения уязвимости выпущены исправления. В системах Windows проблема решена в VMware Tools версии 12.4.9, которая является частью релиза VMware Tools 12.5.4 для 32-битных систем. Для операционных систем на базе Linux исправленная версия пакета open-vm-tools будет распространяться через репозитории соответствующих дистрибутивов.

Простота данной уязвимости указывает на более широкую проблему. Вредоносное ПО часто маскируется под системные процессы, используя такие имена, как httpd. Это означает, что другие, менее сложные угрозы могли непреднамеренно использовать эту брешь для повышения привилегий в системах на протяжении многих лет, даже не будучи специально для этого спроектированными.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка