9月29日VMware針對旗下的Aria Operations與VMware Tools發布更新,修補資安漏洞CVE-2025-41244、CVE-2025-41245、CVE-2025-41246,其中,通報CVE-2025-41244的資安業者指出,中國駭客UNC5174將其用於實際攻擊,最早可追溯到去年10月中旬。
CVE-2025-41244是本機權限提升漏洞,攻擊者若是能在沒有管理員權限的情況入侵虛擬機器(VM),就有機會以此漏洞將自己的權限提升為root,CVSS風險值為7.8。不過,攻擊者要利用上述漏洞存在必要條件:VM本身已部署VMware Tools,並受到Aria Operations管理,而且,Aria Operations也要啟用服務探索管理套件(Service Discovery Management Pack,SDMP)的功能。該公司指出,這項漏洞不光影響Aria Operations、VMware Tools,也影響VMware Cloud Foundation、VMware Telco Cloud Platform,以及VMware Telco Cloud Infrastructure。
這項漏洞由資安顧問公司Nviso發現及通報,他們在今年5月下旬調查UNC5174事故時,察覺異常指標,進一步確認是零時差漏洞,於是5月底向Broadcom通報此事。Nviso發布部落格說明,他們確認UNC5174確實將其用來進行本機權限提升,但無法確定駭客是無意間觸發漏洞,還是已將其納為武器庫的一部分。
針對存在漏洞的環境確認,Nviso指出可根據兩種系統運作的模式來進行,其中一種是針對以憑證為基礎的服務運作模式,另一種是無憑證模式,漏洞分別存在Aria Operations及VMware Tools的特定元件。
若要利用漏洞,不具備特權的本機攻擊者,可將惡意二進位檔案存放於任何以正規表示式描述的路徑,使得VMware的探索功能會自動執行檔案來觸發漏洞,從而達到權限提升的目的。以UNC5174而言,他們通常會放置於/tmp/httpd來嘗試觸發漏洞。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-11-30
2025-12-01
2025-12-04