Broadcom, Ekim 2024’ten bu yana sıfır gün saldırılarında sömürülen VMware ARIA operasyonlarında ve VMware Tools yazılımında yüksek şiddetli bir ayrıcalık artış kırılganlığı düzenledi.
Amerikan teknoloji devi bu güvenlik hatasını (CVE-2025-41244) Wild’da kullanıldığı gibi etiketlemese de, Mayıs ayında hatayı bildirdiği için Nviso tehdit araştırmacısı Maxime Thiebaut’a teşekkür etti.
Ancak dün, Avrupa siber güvenlik şirketi, bu kırılganlığın ilk olarak Ekim 2024’ün ortasından başlayarak vahşiden yararlandığını ve saldırıları UNC5174 Çin devlet destekli tehdit aktörüne bağladığını açıkladı.
Thiebaut, “Bu kırılganlığı kötüye kullanmak için, bozuk bir yerel saldırgan, geniş eşleşen normal ifade yollarının herhangi birinde kötü niyetli bir ikili olarak sahnelenebilir. UNC5174 tarafından vahşi istismar edilen basit bir ortak konum, /tmp /httpd.”
“Kötü niyetli ikili VMware hizmet keşfi tarafından alındığından emin olmak için ikili, müstehcen olmayan kullanıcı (yani işlem ağacında görünmek) ve en azından (rastgele) bir dinleme soketi açmalıdır.”
Nviso ayrıca, saldırganların CVE-2025-41244 kusurunu, savunmasız VMware ARIA operasyonları (kimlik temelli modda) ve VMware araçları (kimlik bilgisi olmayan modda) yazılımlarını çalıştıran ayrıcalıkları yükseltmek için CVE-2025-41244 kusurundan nasıl yararlanabileceğini gösteren bir kavram kanıtı yayınladı.
Bir Broadcom sözcüsü, bugün daha önce BleepingComputer tarafından temasa geçtiğinde hemen yorum yapmak için mevcut değildi.
UNC5174 kimdir?
UNC5174’ün Çin Devlet Güvenliği Bakanlığı (MSS) için bir yüklenici olduğuna inanan Google Mantian Güvenlik Analistleri, F5 Big-IP CVE-2023-46747 uzaktan yürütme kırılganlığını sömüren saldırıların ardından ABD Savunma Yüklenicileri, İngiltere hükümet kuruluşları ve Asya kurumlarına erişim satan tehdit oyuncusunun gözlemlendiğini gözlemledi.
Şubat 2024’te, yüzlerce ABD ve Kanada kurumunu ihlal etmek için CVE-2024-1709 Connectwise Screenconnect kusurunu da kullandı.
Bu yılın başlarında, Mayıs ayında UNC5174, saldırganların savunmasız NetWeaver Visual Composer sunucularında uzaktan kod yürütülmesini sağlayan CVE-2025-31324 kimlik doğrulanmamış dosya yükleme kusurunun Wild-Insoading ile de bağlantılıydı.
Diğer Çin tehdit aktörleri (örn., Chaya_004, UNC5221 ve CL-STA-0048) de bu saldırı dalgasına katıldı ve İngiltere ve Birleşik Devletler’deki kritik altyapı da dahil olmak üzere 580 SAP Netweaver örneğini geri taşıydı.
Pazartesi günü, Broadcom ayrıca ABD Ulusal Güvenlik Ajansı (NSA) tarafından bildirilen iki yüksek şiddetli VMware NSX güvenlik açıklarını yamaladı.
Mart ayında şirket, Microsoft Tehdit İstihbarat Merkezi tarafından bildirilen diğer aktif olarak sömürülen üç VMware sıfır gün hatalarını (CVE-2025-22224, CVE-2022225 ve CVE-2025-22226) sabitledi.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.