🔎 CVE-2025-41244 – Zero-day trong VMware
Nguồn gốc & phát hiện
• Lỗ hổng được phát hiện bởi NVISO Labs trong quá trình ứng cứu sự cố (tháng 5/2025).
• Được theo dõi với mã CVE-2025-41244, điểm CVSS 7.8.
• Đã bị khai thác ngoài thực tế từ tháng 10/2024 bởi nhóm tin tặc có liên hệ với Trung Quốc, được Mandiant đặt tên là UNC5174 A B.
—
Sản phẩm bị ảnh hưởng
Theo advisory của Broadcom/VMware, lỗ hổng ảnh hưởng đến nhiều thành phần:
• VMware Cloud Foundation 4.x, 5.x, 9.x, 13.x (Windows/Linux)
• VMware vSphere Foundation 9.x, 13.x (Windows/Linux)
• VMware Aria Operations 8.x
• VMware Tools 11.x, 12.x, 13.x (Windows/Linux)
• VMware Telco Cloud Platform 4.x, 5.x
• VMware Telco Cloud Infrastructure 2.x, 3.x A
—
Cơ chế khai thác
• Lỗ hổng nằm trong hàm `get_version()` của VMware Tools/Aria Operations.
• Hàm này nhận regex để kiểm tra tiến trình có socket lắng nghe, sau đó gọi lệnh version tương ứng.
• Kẻ tấn công có thể lợi dụng để leo thang đặc quyền từ user thường lên root trong VM.
• Điều kiện: cần có quyền truy cập cục bộ vào VM (ví dụ: đã xâm nhập trước đó qua phishing hoặc khai thác bug khác).
—
Tác động
• Người dùng không đặc quyền có thể thực thi mã trong ngữ cảnh đặc quyền (root/SYSTEM).
• Nếu VM bị chiếm, kẻ tấn công có thể mở rộng quyền kiểm soát, cài backdoor, hoặc dùng VM làm bàn đạp tấn công hạ tầng ảo hóa rộng hơn A.
—
Khai thác thực tế
• UNC5174 (còn gọi là Uteus/Uetus) đã khai thác lỗ hổng này trong các chiến dịch tấn công từ cuối 2024.
• Nhóm này từng khai thác nhiều lỗ hổng khác (Ivanti, SAP NetWeaver) để xâm nhập ban đầu A.
—
Biện pháp khắc phục
• VMware Tools 12.4.9 (trong bộ 12.5.4) đã vá cho Windows 32-bit.
• Bản vá cho Linux sẽ được phân phối qua các vendor (open-vm-tools).
• Broadcom khuyến nghị cập nhật ngay các bản vá mới nhất.
—
📌 Khuyến nghị cho quản trị viên
1. Cập nhật VMware Tools, Aria Operations, Cloud Foundation lên bản vá mới nhất.
2. Giới hạn quyền truy cập vào VM – chỉ cho phép user tin cậy.
3. Theo dõi log để phát hiện hành vi leo thang đặc quyền bất thường.
4. Tách mạng quản trị khỏi mạng người dùng/VM.
5. Tăng cường giám sát EDR/SIEM để phát hiện khai thác.
—
👉 Tóm lại: CVE-2025-41244 là một zero-day nghiêm trọng trong VMware Tools/Aria Operations, đã bị khai thác ngoài thực tế bởi nhóm APT UNC5174 từ cuối 2024. Các tổ chức dùng VMware cần khẩn trương cập nhật bản vá và tăng cường giám sát hệ thống.
Nguồn: The Hacker News, DarkReading.
