Broadcom a remediat o vulnerabilitate gravă de escaladare a privilegiilor în VMware Aria Operations și VMware Tools, o problemă exploatată în atacuri zero-day încă din octombrie 2024. Astfel aflăm cine a fost vizat, ce mecanism tehnic a permis atacurile și cum aceste incidente se leagă de activități atribuite unui grup sofisticat de amenințare.
Vulnerabilitatea CVE-2025-41244 a fost raportată în mai de cercetătorul NVISO Maxime Thiebaut, însă abia recent NVISO a confirmat că exploatarea în mediul real a început la mijlocul lui octombrie 2024 și a asociat atacurile actorului cunoscut drept UNC5174, investigat pentru legături cu serviciile de informații chineze. Din descrierea tehnică rezultă că un utilizator local fără privilegii putea plasa un fișier binar malițios într-un director „adecvat” al sistemului, un exemplu folosit de atacatori fiind /tmp/httpd, iar dacă acel binar era rulat de utilizator și deschidea un socket de ascultare, serviciul VMware îl putea detecta, permițând astfel atacatorului escaladarea privilegiilor. NVISO a publicat și un proof-of-concept care demonstrează cum aceeași vulnerabilitate permite obținerea execuției de cod la nivel root pe mașinile virtuale afectate, fie că rulează VMware Aria Operations în modul care folosește credențiale, fie VMware Tools în modul fără credențiale. Broadcom a lansat corecțiile, dar nu a oferit imediat un comentariu public atunci când a fost contactată de presă.
Cine este UNC5174? Analiza Google Mandiant arată că acest grup, posibil contractor pentru Ministry of State Security din China, a vândut acces la rețele ale unor contractori de apărare din SUA, entități guvernamentale din Marea Britanie și instituții din Asia, după operațiuni care au exploatat anterior vulnerabilitatea F5 BIG-IP CVE-2023-46747. În februarie 2024, același actor a folosit o vulnerabilitate din ConnectWise ScreenConnect (CVE-2024-1709) pentru a infecta sute de organizații din SUA și Canada. În mai 2025, UNC5174 a fost asociat și cu exploatarea unei vulnerabilități de upload neautentificat (CVE-2025-31324) care permitea execuție de cod la distanță pe servere NetWeaver Visual Composer. Alte grupuri chinezești, precum Chaya_004, UNC5221 sau CL-STA-0048, au luat parte la o serie de atacuri care au compromis peste 580 de instanțe SAP NetWeaver, inclusiv sisteme critice din Regatul Unit și Statele Unite.
Pe lângă corecția pentru CVE-2025-41244, Broadcom a remediat luni două vulnerabilități cu severitate ridicată în VMware NSX semnalate de NSA. De asemenea, în martie compania a publicat patch-uri pentru trei zero-day-uri deja exploatate (CVE-2025-22224, CVE-2025-22225 și CVE-2025-22226) raportate de Microsoft Threat Intelligence Center. Toate aceste incidente subliniază că lanțul de instrumente folosite pentru administrarea infrastructurii virtuale rămâne un punct atractiv pentru actori organizați, iar aplicarea rapidă a corecțiilor este esențială pentru limitarea impactului.
Analiza mai largă a campaniilor atribuite UNC5174 arată o preferință pentru exploatarea vectorilor de acces preexistenti (software de administrare, soluții de remote desktop, module NetWeaver) și pentru monetizarea accesului oferit terților, transformând breșele nu doar într-o problemă tehnică, ci și într-o piață subterană de acces. Publicarea unui proof-of-concept de către NVISO amplifică necesitatea aplicării patch-urilor, deoarece demonstrațiile tehnice pot inspira încercări imediate de replicare. În plus, coordonarea raportărilor între cercetători, companii și agenții de securitate (cum ar fi NSA sau Microsoft Threat Intelligence) rămâne crucială pentru detectarea rapidă și blocarea valurilor de atac.
CVE-2025-41244 a fost exploatată în sălbăticie încă din octombrie 2024, iar NVISO a publicat un proof-of-concept pentru demonstrarea exploatării. Ce măsuri concrete ai implementat pentru a verifica dacă serverele sau mașinile virtuale din infrastructura ta sunt actualizate cu aceste patch-uri?
Fii primul care comentează