ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), vahşi ortamda aktif istismar raporlarının ardından Perşembe günü, Broadcom VMware Tools ve VMware Aria Operasyonlarını etkileyen yüksek ciddiyette bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
Söz konusu güvenlik açığı CVE-2025-41244’tür (CVSS puanı: 7,8), bir saldırgan tarafından duyarlı bir sistemde kök düzeyinde ayrıcalıklar elde etmek için kullanılabilir.
CISA bir uyarıda “Broadcom VMware Aria Operations ve VMware Tools, güvenli olmayan eylemler güvenlik açığıyla tanımlanan bir ayrıcalık içeriyor” dedi. “Yönetimsel olmayan ayrıcalıklara sahip, Aria Operations tarafından SDMP etkinleştirilmiş VMware Tools’un yüklendiği ve yönetildiği bir VM’ye erişimi olan kötü niyetli bir yerel aktör, ayrıcalıkları aynı VM üzerinde root’a yükseltmek için bu güvenlik açığından yararlanabilir.”
Güvenlik açığı geçen ay Broadcom’un sahibi olduğu VMware tarafından giderildi, ancak NVISO Labs’a göre Ekim 2024’ün ortasından bu yana bilinmeyen tehdit aktörleri tarafından sıfır gün olarak istismar edilmeden önce bu güvenlik açığı ele alınmadı. Siber güvenlik şirketi, güvenlik açığını bu Mayıs ayı başlarında bir olay müdahale çalışması sırasında keşfettiğini söyledi.
Faaliyet, Çin bağlantılı bir tehdit aktörü olan Google Mandiant’ın UNC5174 olarak takip ettiği bir olaya atfediliyor ve NVISO Labs, kusurun istismar edilmesinin önemsiz olduğunu belirtiyor. CVE-2025-41244’ün silah haline getirilmesinin ardından gerçekleştirilen tam yükü çevreleyen ayrıntılar şu anda gizli tutuluyor.
Güvenlik araştırmacısı Maxime Thiebaut, “Başarılı olduğunda, yerel ayrıcalık yükseltmenin kullanılması, ayrıcalığı olmayan kullanıcıların ayrıcalıklı bağlamlarda (örneğin kök) kod yürütmeyi başarmasıyla sonuçlanır” dedi. “Ancak bu istismarın UNC5174’ün yeteneklerinin bir parçası olup olmadığını veya sıfır günün kullanımının önemsizliğinden dolayı sadece tesadüfi olup olmadığını değerlendiremeyiz.”
KEV kataloğuna ayrıca, XWiki’de, herhangi bir konuk kullanıcının “/bin/get/Main/SolrSearch” uç noktasına yönelik özel hazırlanmış bir istek aracılığıyla rastgele uzaktan kod yürütmesine izin verebilecek kritik bir değerlendirme enjeksiyon güvenlik açığı da yer alıyor. Bu haftanın başlarında VulnCheck, bilinmeyen tehdit aktörlerinin bu kusurdan yararlanarak bir kripto para madencisi sunma girişimlerini gözlemlediğini açıkladı.
Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını aktif tehditlere karşı korumak için 20 Kasım 2025’e kadar gerekli azaltımları uygulamaları gerekiyor.