Компания Broadcom устранила уязвимость с повышением привилегий высокой степени опасности в своем программном обеспечении VMware Aria Operations и VMware Tools, которая использовалась в атаках с нулевым днём с октября 2024 года.
Хотя американский технологический гигант не пометил эту уязвимость (CVE-2025-41244) как используемую в реальных атаках, он поблагодарил исследователя угроз NVISO Максиме Тибо за сообщение о баге в мае.
Тем не менее, вчера европейская компания по кибербезопасности NVISO раскрыла, что эта уязвимость впервые была использована в атаках в реальных условиях начиная с середины октября 2024 года и связала атаки с китайской угрозой, поддерживаемой государством, под названием UNC5174.
"Для эксплуатации этой уязвимости, не имеющему привилегий локальному атакующему нужно разместить вредоносный бинарный файл в одном из путей. Типичная тактика для UNC5174, — это /tmp/httpd", — объяснил Тибо.
"Чтобы вредоносный бинарник был обнаружен службой обнаружения VMware, бинарник должен быть запущен не имеющим привилегий пользователем (т.е. появиться в дереве процессов) и открывать хотя бы один (случайный) сокет."
NVISO также выпустила доказательство концепции эксплуатации, демонстрирующее, как атакующие могут использовать уязвимость CVE-2025-41244 для повышения привилегий на системах с уязвимым программным обеспечением VMware Aria Operations (в режиме с учётными данными) и VMware Tools (в режиме без учётных данных), в конечном итоге получая выполнение кода на уровне root на виртуальной машине.
Представитель Broadcom не предоставил комментарии, когда с ним связались журналисты BleepingComputer сегодня утром.
Кто такие UNC5174?
Аналитики по безопасности Google Mandiant, считающие, что UNC5174 — это подрядчик Министерства государственной безопасности Китая (MSS), наблюдали, как эта угроза продавала доступ к сетям американских оборонных подрядчиков, британских государственных организаций и азиатских институтов в конце 2023 года, после атак, использующих уязвимость удалённого выполнения кода F5 BIG-IP CVE-2023-46747.
В феврале 2024 года она также использовала уязвимость CVE-2024-1709 ConnectWise ScreenConnect для взлома сотен американских и канадских учреждений.
Ранее, в мае этого года, UNC5174 был также связан с эксплуатацией уязвимости CVE-2025-31324 в процессе неаутентифицированной загрузки файлов, что позволяло атакующим получать удалённое выполнение кода на уязвимых серверах NetWeaver Visual Composer.
Другие китайские угрозы (например, Chaya_004, UNC5221 и CL-STA-0048) также присоединились к этой волне атак, внедрив бэкдоры в более чем 580 инстансов SAP NetWeaver, включая критическую инфраструктуру в Великобритании и США.
В понедельник Broadcom также устранила две уязвимости высокой степени опасности в VMware NSX, о которых сообщил Агентство национальной безопасности США (NSA).
В марте компания устранила ещё три активно эксплуатируемые уязвимости в VMware с нулевым днём (CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226), о которых сообщил Центр анализа угроз Microsoft.
- Источник: https://www.bleepingcomputer[.]com/...xploiting-vmware-zero-day-since-october-2024/
Хотя американский технологический гигант не пометил эту уязвимость (CVE-2025-41244) как используемую в реальных атаках, он поблагодарил исследователя угроз NVISO Максиме Тибо за сообщение о баге в мае.
Тем не менее, вчера европейская компания по кибербезопасности NVISO раскрыла, что эта уязвимость впервые была использована в атаках в реальных условиях начиная с середины октября 2024 года и связала атаки с китайской угрозой, поддерживаемой государством, под названием UNC5174.
"Для эксплуатации этой уязвимости, не имеющему привилегий локальному атакующему нужно разместить вредоносный бинарный файл в одном из путей. Типичная тактика для UNC5174, — это /tmp/httpd", — объяснил Тибо.
"Чтобы вредоносный бинарник был обнаружен службой обнаружения VMware, бинарник должен быть запущен не имеющим привилегий пользователем (т.е. появиться в дереве процессов) и открывать хотя бы один (случайный) сокет."
NVISO также выпустила доказательство концепции эксплуатации, демонстрирующее, как атакующие могут использовать уязвимость CVE-2025-41244 для повышения привилегий на системах с уязвимым программным обеспечением VMware Aria Operations (в режиме с учётными данными) и VMware Tools (в режиме без учётных данных), в конечном итоге получая выполнение кода на уровне root на виртуальной машине.
Представитель Broadcom не предоставил комментарии, когда с ним связались журналисты BleepingComputer сегодня утром.
Кто такие UNC5174?
Аналитики по безопасности Google Mandiant, считающие, что UNC5174 — это подрядчик Министерства государственной безопасности Китая (MSS), наблюдали, как эта угроза продавала доступ к сетям американских оборонных подрядчиков, британских государственных организаций и азиатских институтов в конце 2023 года, после атак, использующих уязвимость удалённого выполнения кода F5 BIG-IP CVE-2023-46747.
В феврале 2024 года она также использовала уязвимость CVE-2024-1709 ConnectWise ScreenConnect для взлома сотен американских и канадских учреждений.
Ранее, в мае этого года, UNC5174 был также связан с эксплуатацией уязвимости CVE-2025-31324 в процессе неаутентифицированной загрузки файлов, что позволяло атакующим получать удалённое выполнение кода на уязвимых серверах NetWeaver Visual Composer.
Другие китайские угрозы (например, Chaya_004, UNC5221 и CL-STA-0048) также присоединились к этой волне атак, внедрив бэкдоры в более чем 580 инстансов SAP NetWeaver, включая критическую инфраструктуру в Великобритании и США.
В понедельник Broadcom также устранила две уязвимости высокой степени опасности в VMware NSX, о которых сообщил Агентство национальной безопасности США (NSA).
В марте компания устранила ещё три активно эксплуатируемые уязвимости в VMware с нулевым днём (CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226), о которых сообщил Центр анализа угроз Microsoft.
- Источник: https://www.bleepingcomputer[.]com/...xploiting-vmware-zero-day-since-october-2024/