Уязвимость нулевого дня в продуктах VMware активно эксплуатировалась с середины октября 2024 года по май 2025 года. За атаками стояла хакерская группировка UNC5174, связанная с Китаем. Уязвимость, получившая идентификатор CVE-2025-41244, представляет собой локальное повышение привилегий, позволяя злоумышленнику с базовым доступом к виртуальной машине получить полный контроль на уровне "root".
Ответственность за эксплуатацию несет группировка UNC5174, также известная под псевдонимами Uteus или Uetus. По данным компании Google Mandiant, которая отслеживает деятельность группы, она связана с Китаем и имеет опыт использования уязвимостей в программном обеспечении для получения первоначального доступа. Ранее UNC5174 была замечена в атаках на уязвимости в продуктах Ivanti и SAP NetWeaver.
Сама уязвимость CVE-2025-41244 имеет рейтинг опасности 7.x и 5.x по шкале CVSS. Она не позволяет получить удаленный доступ, а классифицируется как локальное повышение привилегий (LPE). Это означает, что для ее эксплуатации злоумышленник уже должен иметь первоначальный доступ к целевой виртуальной машине. Успешная атака возможна на виртуальных машинах, где установлены VMware Tools и которые управляются через Aria Operations с активированной функцией SDMP.
Технически брешь кроется в функции
Механизм атаки заключается в том, что злоумышленник размещает вредоносный исполняемый файл, например, с именем
Уязвимость была обнаружена 19 мая 2025 года исследователем безопасности Максимом Тибо из брюссельской компании NVISO Labs в ходе реагирования на инцидент. После получения отчета компания VMware в понедельник выпустила соответствующее уведомление. Примечательно, что Broadcom, материнская компания VMware, в своем первоначальном бюллетене не упомянула факт активной эксплуатации уязвимости в реальных атаках.
Проблема затрагивает широкий спектр продуктов, включая VMware Cloud Foundation версий 9.x и 13.x, VMware vSphere Foundation версий 9.x и 13.x, VMware Aria Operations 8.x, VMware Telco Cloud Platform 4.x и 5.x, а также VMware Telco Cloud Infrastructure 2.x и 3.x. Уязвимости также подвержены VMware Tools версий 11.x, 12.x и 13.x для Windows и Linux.
Для устранения уязвимости выпущены исправления. В системах Windows проблема решена в VMware Tools версии 12.4.9, которая является частью релиза VMware Tools 12.5.4 для 32-битных систем. Для операционных систем на базе Linux исправленная версия пакета
Простота данной уязвимости указывает на более широкую проблему. Вредоносное ПО часто маскируется под системные процессы, используя такие имена, как
Изображение носит иллюстративный характер
Ответственность за эксплуатацию несет группировка UNC5174, также известная под псевдонимами Uteus или Uetus. По данным компании Google Mandiant, которая отслеживает деятельность группы, она связана с Китаем и имеет опыт использования уязвимостей в программном обеспечении для получения первоначального доступа. Ранее UNC5174 была замечена в атаках на уязвимости в продуктах Ivanti и SAP NetWeaver.
Сама уязвимость CVE-2025-41244 имеет рейтинг опасности 7.x и 5.x по шкале CVSS. Она не позволяет получить удаленный доступ, а классифицируется как локальное повышение привилегий (LPE). Это означает, что для ее эксплуатации злоумышленник уже должен иметь первоначальный доступ к целевой виртуальной машине. Успешная атака возможна на виртуальных машинах, где установлены VMware Tools и которые управляются через Aria Operations с активированной функцией SDMP.
Технически брешь кроется в функции
get_version(). В ней используется чрезмерно широкое регулярное выражение с классом символов \S, который соответствует любому непробельному символу. Это приводит к тому, что функция может ошибочно идентифицировать и выполнить вредоносный файл, размещенный злоумышленником, вместо легитимного системного файла. Механизм атаки заключается в том, что злоумышленник размещает вредоносный исполняемый файл, например, с именем
httpd, в каталоге с правом на запись, таком как /tmp. Когда процесс сбора метрик VMware запускает уязвимую функцию get_version(), она по ошибке выполняет файл /tmp/httpd с привилегиями суперпользователя вместо настоящего системного файла /usr/bin/httpd. Группировка UNC5174 использовала этот метод для получения корневой оболочки (root shell). Уязвимость была обнаружена 19 мая 2025 года исследователем безопасности Максимом Тибо из брюссельской компании NVISO Labs в ходе реагирования на инцидент. После получения отчета компания VMware в понедельник выпустила соответствующее уведомление. Примечательно, что Broadcom, материнская компания VMware, в своем первоначальном бюллетене не упомянула факт активной эксплуатации уязвимости в реальных атаках.
Проблема затрагивает широкий спектр продуктов, включая VMware Cloud Foundation версий 9.x и 13.x, VMware vSphere Foundation версий 9.x и 13.x, VMware Aria Operations 8.x, VMware Telco Cloud Platform 4.x и 5.x, а также VMware Telco Cloud Infrastructure 2.x и 3.x. Уязвимости также подвержены VMware Tools версий 11.x, 12.x и 13.x для Windows и Linux.
Для устранения уязвимости выпущены исправления. В системах Windows проблема решена в VMware Tools версии 12.4.9, которая является частью релиза VMware Tools 12.5.4 для 32-битных систем. Для операционных систем на базе Linux исправленная версия пакета
open-vm-tools будет распространяться через репозитории соответствующих дистрибутивов. Простота данной уязвимости указывает на более широкую проблему. Вредоносное ПО часто маскируется под системные процессы, используя такие имена, как
httpd. Это означает, что другие, менее сложные угрозы могли непреднамеренно использовать эту брешь для повышения привилегий в системах на протяжении многих лет, даже не будучи специально для этого спроектированными.
