- Broadcomは、深刻度の高いVMware権限昇格ゼロデイ「CVE-2025-41244」にパッチを適用
- 中国の攻撃者UNC5174が、/tmp/httpdのようなパスに悪意あるバイナリを配置してこの脆弱性を悪用
- UNC5174は以前、Ivanti CSAの脆弱性を利用してフランス政府および商業セクターを標的にしていた
Broadcomは、実際の攻撃でゼロデイとして利用されたとみられる、VMware Aria OperationsおよびVMware Toolsに影響する深刻度の高い脆弱性にパッチを適用しました。
同社は新たなセキュリティアドバイザリで、ローカルユーザーが限定的なアクセス権しか持たないVM上で、(VMware ToolsとAria OperationsがSDMP有効で稼働している場合)root権限を取得できてしまうローカル権限昇格の脆弱性を修正したと明かしました。このバグは「CVE-2025-41244」として追跡されており、深刻度スコアは7.8/10(高)と評価されています。
Windows 32ビット向けの修正を探している場合は、VMware Tools 12.5.4の一部であるVMware Tools 12.4.9を利用してください。Linux向けには、Linuxベンダーから配布されるopen-vm-toolsのバージョンがあります。
UNC5174が関与か
アドバイザリでは他にも修正された2件の脆弱性について言及されていますが、これらが実際に悪用されたという記載はありません。
BleepingComputerはしかし、サイバーセキュリティ研究者NVISOによる別の報告を発見しました。NVISOはこの脆弱性を確認しただけでなく、攻撃者がどのようにこのバグを利用して権限昇格を行うかを示す概念実証(PoC)も公開しています。
また、同社は中国政府系の攻撃者がこのバグを利用していたとも述べています。「この脆弱性を悪用するには、権限のないローカル攻撃者が広範囲にマッチする正規表現パスのいずれかに悪意のあるバイナリを配置することができます。UNC5174が実際に悪用した一般的なパスは /tmp/httpd です」とNVISOは報告しています。
UNC5174は中国政府系の攻撃グループとして知られています。今年の夏、このグループが2024年後半にフランス政府機関や、通信、金融、運輸など多くの商業組織を標的にしたと報じられました。
当時、フランス国家情報システムセキュリティ庁(ANSSI)は、攻撃者がIvanti CSAデバイスの3つの脆弱性(CVE-2024-8963、CVE-2024-9380、CVE-2024-8190)を悪用していたと指摘しています。
