- CISAはCVE-2025-41244をKEVに追加し、11月20日までのパッチ適用を義務付け
- このバグにより、SDMPが有効なVMware Toolsを通じてローカル権限昇格が可能
- 中国のグループUNC5174が、西側およびアジアの機関を標的としたスパイ活動で悪用
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Broadcomの新たなバグを既知の悪用済み脆弱性(KEV)カタログに追加し、連邦民間行政機関(FCEB)に対して実際に悪用されていることを警告しました。
問題となっているバグは、VMware Aria OperationsおよびVMWare Toolsに影響するローカル権限昇格の脆弱性です。NVDによると、管理者権限を持たない悪意のあるローカルユーザーが、SDMPが有効なAria Operationsで管理されているVMにインストールされたVMWare Toolsへアクセスすることで、同じVM上でroot権限へ昇格できる可能性があります。
このバグはCVE-2025-41244として追跡されており、深刻度スコアは7.8/10(高)とされています。Windows 32ビット向けの修正を探している場合は、VMWare Tools 12.5.4の一部であるVMWare Tools 12.4.9を利用してください。Linux向けには、Linuxベンダーから配布されるopen-vm-toolsのバージョンがあります。
中国の攻撃者
CISAはこれをKEVに追加することで、FCEB機関に対し、パッチ(約1か月前に公開済み)を3週間以内に適用するか、脆弱な製品の使用を完全に停止するよう求めました。締切は11月20日です。
同時に、セキュリティ研究者は、このバグが中国の国家支援の犯罪者によって約1年前から悪用されていたと指摘しています。実際、NVISOによれば、UNC5174として追跡されているグループが2024年10月中旬からこの脆弱性を利用しており、どのように悪用できるかを示す概念実証(POC)コードも公開したとBleepingComputerが報じています。
Google Mandiantによると、UNC5174は中国国家安全省(MSS)から、米国防衛請負業者、英国政府機関、アジア各国の機関へのアクセスを得るために雇われていました。
2024年末、中国の国家支援型脅威アクターは、Ivanti Cloud Services Appliance(CSA)デバイスの複数のゼロデイ脆弱性を悪用し、フランス政府機関や、通信、金融、運輸などの多数の商業組織へアクセスしました。これらの攻撃はHoukenとして追跡されているグループによるものとされ、研究者によればUNC5174と多くの類似点があるとされています。
