Broadcomは、VMware Aria OperationsおよびVMware Toolsソフトウェアに存在する高深刻度の権限昇格の脆弱性に対してパッチを公開しました。この脆弱性は2024年10月以降、ゼロデイ攻撃で悪用されていました。
米国のテクノロジー大手である同社は、このセキュリティバグ(CVE-2025-41244)が実際に悪用されたとは明記していませんが、NVISOの脅威リサーチャー、Maxime Thiebaut氏が5月にこのバグを報告したことに感謝の意を表しています。
しかし昨日、欧州のサイバーセキュリティ企業は、この脆弱性が2024年10月中旬から実際に悪用され始め、中国国家支援型の脅威アクターUNC5174による攻撃と関連付けられていることを明らかにしました。
「この脆弱性を悪用するには、権限のないローカル攻撃者が、広範囲に一致する正規表現パスのいずれかに悪意のあるバイナリを設置することができます。UNC5174が実際に悪用した一般的な場所は/tmp/httpdです」とThiebaut氏は説明しています。
「悪意のあるバイナリがVMwareのサービスディスカバリーによって検出されるようにするには、そのバイナリが権限のないユーザーによって実行されている(つまりプロセスツリーに表示される)必要があり、少なくとも1つ(ランダムな)リスニングソケットを開いている必要があります。」
NVISOはまた、攻撃者がCVE-2025-41244の脆弱性を悪用して、脆弱なVMware Aria Operations(認証ベースモード)およびVMware Tools(認証不要モード)ソフトウェア上で権限を昇格し、最終的にVM上でrootレベルのコード実行を得る方法を示す概念実証エクスプロイトも公開しました。
Broadcomの広報担当者は、BleepingComputerが本日早くに問い合わせた際、すぐにはコメントできませんでした。
UNC5174とは?
Google Mandiantのセキュリティアナリストは、UNC5174が中国国家安全部(MSS)の契約業者であると考えており、この脅威アクターが2023年後半、F5 BIG-IPのCVE-2023-46747リモートコード実行脆弱性を悪用した攻撃の後、米国防請負業者、英国政府機関、アジアの機関のネットワークへのアクセスを販売していたことを観測しています。
2024年2月には、CVE-2024-1709 ConnectWise ScreenConnectの脆弱性を悪用し、米国およびカナダの数百の機関に侵入しました。
今年5月にも、UNC5174は、CVE-2025-31324の認証不要ファイルアップロード脆弱性の実際の悪用にも関与しており、これにより攻撃者は脆弱なNetWeaver Visual Composerサーバーでリモートコード実行が可能となります。
他の中国の脅威アクター(例:Chaya_004、UNC5221、CL-STA-0048)もこの攻撃の波に加わり、英国と米国の重要インフラを含む580以上のSAP NetWeaverインスタンスにバックドアを仕掛けました。
月曜日には、Broadcomが米国国家安全保障局(NSA)によって報告された2件の高深刻度VMware NSX脆弱性にもパッチを提供しました。
3月には、同社はMicrosoft Threat Intelligence Centerによって報告された他の3件の実際に悪用されたVMwareゼロデイバグ(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226)も修正しています。
