La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el jueves adicional una falla de seguridad de alta gravedad que afecta a Broadcom VMware Tools y VMware Aria Operations y sus vulnerabilidades conocidas explotadas ( KEV ), tras los informes de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es la CVE-2025-41244 (puntuación CVSS: 7,8), que un atacante podría aprovechar para obtener privilegios de nivel raíz en un sistema susceptible.
«Broadcom VMware Aria Operations y VMware Tools contienen un privilegio definido con la vulnerabilidad de acciones no seguras», dijo CISA en una alerta. «Un actor local malintencionado con privilegios no administrativos que tenga acceso a una máquina virtual con VMware Tools instalada y gestionada por Aria Operations con SDMP habilitado puede aprovechar esta vulnerabilidad para ampliar los privilegios a fin de ampliar los privilegios para rootear en la misma máquina virtual».
VMware, propiedad de Broadcom, abordó la vulnerabilidad el mes pasado, pero no antes de que actores de amenazas desconocidos la explotaran como un día cero desde mediados de octubre de 2024, según NVISO Labs. La empresa de ciberseguridad dijo que descubrió la vulnerabilidad a principios de mayo durante una intervención de respuesta a un incidente.
La actividad es atribuido a un actor de amenazas vinculado a China que Google Mandiant rastrea como UNC5174, y NVISO Labs describe la falla como trivial de explotar. Los detalles sobre la carga útil exacta ejecutada tras la militarización del CVE-2025-41244 no han sido revelados por el momento.
«Cuando tiene éxito, la explotación de la escalada de privilegios locales hace que los usuarios sin privilegios ejecuten código en contextos privilegiados (por ejemplo, root)», afirma el investigador de seguridad Maxime Thiebaut. «Sin embargo, no podemos evaluar si este exploit formaba parte de las capacidades de la UNC5174 o si el uso del día cero fue meramente accidental debido a su carácter trivial».
También se incluye en el catálogo de KEV una vulnerabilidad crítica de inyección de evaluación en XWiki que podría permitir a cualquier usuario invitado ejecutar código de forma remota arbitraria mediante una solicitud especialmente diseñada al punto final «/bin/get/main/SolrSearch». A principios de esta semana, VulnCheck revelada que observó los intentos de actores de amenazas desconocidos de aprovechar la falla y entregar un minero de criptomonedas.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las mitigaciones necesarias antes del 20 de noviembre de 2025 para proteger sus redes contra las amenazas activas.