Broadcom heeft de kwetsbaarheid CVE-2025-41244 gepatcht. Dat is maar goed ook, want exploitaties ervan vonden al plaats sinds oktober vorig jaar.
De kwetsbaarheid treft VMware Tools en VMware Aria Operations. Deze managementlagen bleken vatbaar voor het escaleren van privileges en het uitvoeren van code op root-niveau. In de verkeerde handen kon deze bug tot grote problemen leiden. VMware Tools gaf gebruikers tijdens het doorzoeken van binaries voor de versies van componenten verhoogde privileges. Hierbij konden aanvallers binaries activeren die niet tot de beheerde systemen behoorden.
Schijn-exploits?
Nviso, een securitybedrijf gericht op pentesting en incident response, ontdekte dat de door China gesteunde aanvaller UNC5174 de bug exploiteerde. Opvallend is dat het onduidelijk is of dit expres was: het gebruik van malafide binaries vindt immers ook plaats in een andere context. VMware’s tooling pikte onbedoeld deze binaries op en gaf hogere privileges, maar het is niet bekend of dit ook werkelijk een aanvalspad was.
UNC5174 kwam al eens onder de loep van securityonderzoekers. Sysdig meldde in april dat deze cybergroep zich weet te verhullen door open-source tooling te benutten zoals VShell.
Echter is het gedrag van de VMware-tooling volgens Nviso zorgwekkend genoeg dat verschillende malware-varianten er mogelijk van geprofiteerd hebben. Gelukkig is exploitatie van CVE-2025-41244 “eenvoudig gedetecteerd”, aldus Nviso-analist Maxime Thiebaut.
Score
De kwetsbaarheid ontving de CVSS-score van 7,8, ofwel “hoog”. Zoals gebruikelijk dienen we hierbij te melden dat die scores zelden overeenkomen met de werkelijke ernst van een exploitatie. Hoe dan ook is er een patch beschikbaar om het probleem te verhelpen. Daarbij moeten organisaties zich ervan bewust zijn dat laterale bewegingen via de verhoogde privileges mogelijk al hebben plaatsgevonden.