Desde mediados de octubre de 2024, un actor de amenazas llamado UNC5174 ha explotado una falla de seguridad recientemente corregida que afecta a Broadcom, VMware Tools y VMware Aria Operations como día cero, según Laboratorios ENVISO .
La vulnerabilidad en cuestión es CVE-2025-41244 (puntuación CVSS: 7.8), un error de escalamiento de privilegios local que afecta a las siguientes versiones -
- VMware Cloud Foundation 4.x y 5.x
- VMware Cloud Foundation 9.x.xx
- VMware Cloud Foundation 13.x.x.x (Windows, Linux)
- VMware vSphere Foundation 9.x.xx
- VMware vSphere Foundation 13.x.x.x (Windows, Linux)
- VMware Aria Operations 8.x
- VMware Tools 11.x.x, 12.x.x y 13.x.x (Windows, Linux)
- VMware Telco Cloud Platform 4.x y 5.x
- Infraestructura de nube VMware Telco 2.x y 3.x
«Un actor local malintencionado con privilegios no administrativos que tenga acceso a una máquina virtual con VMware Tools instaladas y administradas por Aria Operations con SDMP habilitado puede aprovechar esta vulnerabilidad para escalar los privilegios para rootear en la misma máquina virtual», dijo VMware dijo en un aviso publicado el lunes.
El hecho de que se trate de una escalada de privilegios local significa que el adversario tendrá que proteger el acceso al dispositivo infectado por otros medios.
Al investigador de la NVISO, Maxime Thiebaut, se le ha atribuido el mérito de descubrir y denunciar la deficiencia el 19 de mayo de 2025, durante un compromiso de respuesta a un incidente. La empresa también afirmó que VMware Tools 12.4.9, que forma parte de VMware Tools 12.5.4, soluciona el problema en los sistemas Windows de 32 bits y que los proveedores de Linux distribuirán una versión de herramientas virtuales abiertas que aborde el problema CVE-2025-41244.
|
| La función get_version () vulnerable |
Si bien Broadcom no menciona que se esté explotando en ataques del mundo real, NVISO Labs atribuyó la actividad a un actor de amenazas vinculado a China que Google Mandiant rastrea como UNC5174 (también conocido como Uteus o Uetus), que tiene un trayectoria de explotación varios fallos de seguridad , incluidos los que afectan a Ivanti y SAP NetWeaver, para obtener el acceso inicial a los entornos de destino.
«Cuando tiene éxito, la explotación de la escalada de privilegios locales hace que los usuarios sin privilegios puedan ejecutar el código en contextos privilegiados (por ejemplo, root)», afirma Thiebaut. «Sin embargo, no podemos evaluar si este exploit formaba parte de las capacidades de la UNC5174 o si el uso del día cero fue meramente accidental debido a su carácter trivial».
NVISO dijo que la vulnerabilidad tiene su origen en una función llamada «get_version ()» que toma un patrón de expresión regular (regex) como entrada para cada proceso con un conector de escucha, comprueba si el binario asociado a ese proceso coincide con el patrón y, de ser así, invoca el comando de versión del servicio compatible.
«Si bien esta funcionalidad funciona según lo esperado para los binarios del sistema (por ejemplo, /usr/bin/httpd), el uso de la clase de caracteres\ S de coincidencia amplia (que coincide con caracteres que no son espacios en blanco) en varios de los patrones de expresiones regulares también coincide con los binarios que no son espacios en blanco (por ejemplo, /tmp/httpd)», explicó Thiebaut. «Estos archivos binarios que no pertenecen al sistema se encuentran dentro de directorios (por ejemplo, /tmp) en los que los usuarios sin privilegios pueden escribir por diseño».
Como resultado, esto abre la puerta a posibles abusos por parte de un atacante local sin privilegios al colocar el binario malintencionado en «/tmp/httpd», lo que provoca un aumento de privilegios cuando se ejecuta la recopilación de métricas de VMware. Todo lo que necesita un intruso para abusar de la falla es asegurarse de que el binario lo ejecuta un usuario sin privilegios y que abre un socket de escucha aleatorio.
La empresa de ciberseguridad con sede en Bruselas señaló que había observado que la UNC5174 utilizaba la ubicación «/tmp/httpd» para organizar el binario malicioso y generar un shell raíz elevado y lograr la ejecución del código. La naturaleza exacta de la carga útil ejecutada con este método no está clara en este momento.
«La práctica generalizada de imitar los binarios del sistema (por ejemplo, httpd) pone de relieve la posibilidad real de que varias otras cepas de malware se hayan beneficiado accidentalmente de escaladas de privilegios no deseadas durante años», afirma Thiebaut.