NVISO Labsによると、新たに修正された高深刻度のVMware脆弱性が、2024年10月から昇格特権でコード実行を可能にするゼロデイとして悪用されていました。
CVE-2025-41244(CVSSスコア7.8)として追跡されているこのセキュリティ欠陥は、VMware Aria OperationsおよびVMware Toolsの両方に影響します。
VMwareの親会社であるBroadcomは今週パッチを公開し、この脆弱性によりVMware Toolsがインストールされ、SDMPが有効なAria Operationsによって管理されているVM上で攻撃者が権限をrootまで昇格できると警告しましたが、実際に悪用されていることには一切言及しませんでした。
同社の公開アドバイザリでは、通常、ゼロデイ悪用が検出された場合には顧客に警告します。
発見の功績を認められたNVISOによると、中国の国家支援型脅威アクターUNC5174がこのバグを1年間悪用していました。UNC5174は最近、サイバーセキュリティ企業SentinelOneへの攻撃にも関与していたとされています。
「ただし、このエクスプロイトがUNC5174の能力の一部であったのか、それともゼロデイの利用がその単純さゆえに偶発的だったのかは評価できません」とNVISOは述べています。
この脆弱性は、VMware Aria Operationsのサービスおよびアプリケーション検出機能に影響し、従来の認証情報ベースのサービス検出(VMware Toolsがプロキシとして動作)と、認証情報不要のサービス検出(VMware Toolsで実装されたメトリクス収集)の両方が含まれます。
「NVISOの調査により、特権昇格は両方のモードに影響することが確認され、論理的な欠陥はそれぞれVMware Aria Operations(認証情報ベースモード)およびVMware Tools(認証情報不要モード)内に存在することが判明しました」とNVISOは説明しています。
広告。スクロールして続きをお読みください。
NVISOは、CVE-2025-41244の悪用により、特権のないユーザーがroot権限でコードを実行できるようになることを指摘し、主要なLinuxディストリビューションに含まれるVMware Toolsのオープンソース版であるopen-vm-toolsも影響を受けると警告しています。
NVISOによれば、open-vm-toolsのディスカバリ機能は、サポートされているサービスバイナリと一致するかを確認する正規表現パターンを引数として関数を呼び出します。
しかし、その関数はいくつかの正規表現パターンで広範囲に一致する\S文字クラスを使用しているため、特権のないユーザーが書き込み可能なディレクトリ内の非システムバイナリにも一致してしまいます。
そのため、攻撃者は脆弱なopen-vm-toolsのバージョンで、広範囲に一致する正規表現パスに悪意のあるバイナリを配置することで、そのバイナリがバージョン検出のために昇格されるよう悪用できます。
NVISOによれば、UNC5174は/tmp/httpdフォルダに悪意のあるバイナリを配置することでこの脆弱性を悪用してきました。昇格されると、バイナリは低い権限で実行され、ランダムなリスニングソケットを開きます。
BroadcomはVMware Cloud Foundation、vSphere Foundation、Aria Operations、Telco Cloud Platform、VMware Toolsの新しいリリースでこの脆弱性を修正し、open-vm-toolsの修正はLinuxベンダーから配布されると述べています。
CVE-2025-41244の悪用を検出するには、組織は異常な子プロセスを探すべきです。監視のない環境では、従来の認証情報ベースモードで残存するメトリクスコレクタースクリプトや出力を分析することで、悪用が確認できます。
「システムバイナリ(例:httpd)を模倣する手法が広く行われていることは、他にも多くのマルウェアが意図しない特権昇格の恩恵を何年も受けてきた可能性を示しています」とNVISOは述べ、脅威アクターがopen-vm-toolsのソースコードから簡単にこのバグを発見できることを指摘しています。
関連記事: 2025年CISOフォーラム・バーチャルサミットの発表募集開始
関連記事: Google、Gemini AIの改ざんログ・検索結果に関するハックを修正
関連記事: Apple、悪意のあるフォント攻撃を防ぐためiOSとmacOSをアップデート
関連記事: 悪用されたSudo脆弱性について組織に警告
