Nviso Labs’a göre, Broadcom VMware araçlarını ve VMware ARIA operasyonlarını etkileyen yeni yamalı bir güvenlik kusuru, Ekim 2024’ten bu yana UNC5174 adlı bir tehdit oyuncusu tarafından sıfır gün olarak Wild’da kullanıldı.
Söz konusu güvenlik açığı CVE-2025-41244 (CVSS puanı: 7.8), aşağıdaki sürümleri etkileyen yerel bir ayrıcalık artış hatası –
- VMware Cloud Foundation 4.x ve 5.x
- VMware Cloud Foundation 9.xxx
- VMware Cloud Foundation 13.xxx (Windows, Linux)
- VMware vSphere Foundation 9.xxx
- VMware vSphere Foundation 13.xxx (Windows, Linux)
- VMware ARIA İşlemleri 8.x
- VMware Tools 11.xx, 12.xx ve 13.xx (Windows, Linux)
- VMware Telco Bulut Platformu 4.x ve 5.x
- VMware Telco Bulut Altyapısı 2.x ve 3.x
VMware, Pazartesi günü yayınlanan bir danışmanlıkta, “SDMP özellikli ARIA operasyonları tarafından kurulu ve yönetilen bir VM’ye erişimi olan ve aynı VM’ye kök salmak için ayrıcalıkları artırmak için bu güvenlik açığını kullanabilir.
Yerel bir ayrıcalık artması olması, düşmanın enfekte cihaza başka bazı yollarla erişimi güvence altına alması gerektiği anlamına gelir.
Nviso araştırmacısı Maxime Thiebaut, 19 Mayıs 2025’te bir olay müdahale katılımı sırasında eksikliği keşfettiği ve rapor ettiği için kredilendirildi. Şirket ayrıca, VMware Tools 12.5.4’ün bir parçası olan VMware Tools 12.4.9’un Windows 32-bit sistemleri için sorunu iyileştirdiğini ve CVE-2025-41244’ü Linux satıcıları tarafından dağıtılacağını açıklayan açık VM-Tools sürümünün.
 |
| Savunmasız get_version () işlevi |
Broadcom, gerçek dünya saldırılarında kullanılmamasından bahsetmese de, Nviso Labs, etkinliği, Ivanti ve SAP netweaver’ı etkileyen, hedef ortamlara başlangıç erişimini de dahil olmak üzere çeşitli güvenlik kusurlarını kullanan bir geçmişe sahip olan UNC5174 (aka uteus veya Uetus) olarak ilişkilendirdi.
Thiebaut, “Başarılı olduğunda, yerel ayrıcalık yükseltmesinin sömürülmesi, ayrıcalıklı bağlamlarda (örneğin kök) kod yürütme elde eden ürünsiz kullanıcılarla sonuçlanıyor.” Dedi. “Bununla birlikte, bu istismarın UNC5174’ün yeteneklerinin bir parçası olup olmadığını veya sıfır günün kullanımının önemsizliği nedeniyle sadece kazara olup olmadığını değerlendiremeyiz.”
Nviso, güvenlik açığının, bir dinleme soketi ile her işlem için normal bir ifade (Regex) paterni alan “get_version ()” adlı bir işlevde olduğunu söyledi, bu işlemle ilişkili ikili desenle eşleşip eşleşmediğini kontrol ediyor ve eğer öyleyse desteklenen hizmetin sürüm komutunu çağırıyor.
“Bu işlevsellik sistem ikili dosyaları (örn.,/USR/BIN/HTTPD) için beklendiği gibi çalışsa da, Regex paternlerinin birçoğunda geniş eşleşen karakter sınıfının (eşleşen Whitespace olmayan karakterlerle eşleşen) kullanımı, system olmayan ikili iki adet (/tmp/httpd) eşleşir.” “Bu sistem dışı ikili dosyalar, tasarım yoluyla ayrıcalıksız kullanıcılar için yazılamayan dizinler (örn. /TMP) içinde bulunur.”
Sonuç olarak, bu, “/TMP/HTTPD” de kötü niyetli ikili olarak düzenlenerek, ayrıcalıklı bir yerel saldırgan tarafından potansiyel istismarın kapısını açar ve VMware Metrics koleksiyonu yürütüldüğünde ayrıcalık artmasına neden olur. Kusurun kötüye kullanılmasını gerektiren tüm kötü bir aktör, ikili bir kullanıcı tarafından çalıştırılmasını sağlamaktır ve rastgele bir dinleme soketi açar.
Brüksel merkezli siber güvenlik şirketi, kötü niyetli ikili olarak sahne almak ve yükseltilmiş bir kök kabuğunu ortaya çıkarmak ve kod yürütme elde etmek için “/tmp/httpd” konumunu kullanarak UNC5174’ü gözlemlediğini belirtti. Bu yöntem kullanılarak yürütülen yükün kesin doğası bu aşamada belirsizdir.
Thiebaut, “Sistem ikili dosyalarını taklit etme uygulaması (örn. HTTPD), diğer bazı kötü amaçlı yazılım suşlarının yıllardır istenmeyen ayrıcalık artışlarından yanlışlıkla yararlanma olasılığını vurgulamaktadır.” Dedi.