Güvenlik araştırmacılarına göre, yeni listelenen bir VMware sıfır günü güvenlik açığı, Çin devlet destekli tehdit aktörleri tarafından neredeyse bir yıldır aktif olarak kullanıldı.
Güvenlik açığı, CVE-2025-41244, 29 Eylül’de Wild Wild Soulty’yi detaylandıran bir blog yayınlayan Nviso Researchers tarafından VMware Ebeveyn Broadcom’a bildirildi. Broadcom ayrıca aynı gün yayınlanan bir danışmanlıktaki kırılganlığı da ele aldı.
7.8 dereceli yerel ayrıcalık yükseltme güvenlik açığı, VMware ARIA işlemleri, VMware Tools, VMware Cloud Foundation, VMware Telco Bulut Platformu ve VMware Telco Cloud Altyapının belirli sürümlerini etkiler.
VMware Güvenlik Açığı CVE-2025-41244, SDMP etkinleştirilmiş ARIA işlemleri tarafından kurulu ve yönetilen VMware araçlarıyla bir VM’ye sahip olmayan bir VM’ye erişim ve VM’ye erişim sağlanabilir. Tehdit oyuncusu potansiyel olarak VM’ye kök salmak için ayrıcalıkları artırabilir.
UNC5174’e bağlı VMware Güvenlik Açığı CVE-2025-41244
Nviso, Mayıs 2025’te istismarın kanıtlarını tespit etti, ancak tehdit araştırmacısı ve olay müdahalesi Maxime Thiebaut tarafından blog yazısı, şirketin Ekim 2024’ün ortalarında vahşi başlangıçta sıfır gün sömürüsünü tespit ettiğini söyledi. Şirket, Broadcom’a karşı savunmasızlığı sıfır gününü belirledikten sonra iki gün açıkladı ve bir laboratuvar ortamında yeniden üretti.
Nviso, istismarı kamu sömürüsü yoluyla ilk erişimi elde ettiği bilinen Çin devlet destekli bir tehdit aktörü olan UNC5174’e bağlar.
“Nviso bu güvenlik açıklarını UNC5174 olay müdahale katılımları yoluyla tanımlasa da, güvenlik açıklarının önemsizliği ve taklit etme sistem ikili uygulamaları (T1036.005), UNC5174’ün istismarın istila edip elde edemeyeceği” dedi.
Thiebaut, “Sistem ikili dosyalarını taklit etmenin geniş uygulaması (örn. HTTPD), diğer bazı kötü amaçlı yazılım suşlarının yıllardır istenmeyen ayrıcalık artışlarından yanlışlıkla yararlanma olasılığını vurgulamaktadır” diye yazdı.
VMware ARIA operasyonları tescillidir, ancak VMware araçları, birçok Linux dağıtımına dahil olan açık kaynaklı Open-VM-Tools olarak mevcuttur. Thiebaut, CVE-2025-41244 analizini açık kaynaklı bileşene dayandırdı ve ayrıca bir kavram kanıtı (POC) istismar yayınladı.
Etkilenen VMware sürümleri
Broadcom’a göre, etkilenen sürümler ve sabit sürümler şunları içerir:
| Ürün | Bileşen | Versiyon | AÇIK ÇALIŞMA | Sabit versiyon |
| VMware Cloud Foundation | VMware Cloud Foundation İşlemleri | 9.xxx | Herhangi | 9.0.1.0 |
| VMware vSphere Foundation | ||||
| VMware Cloud Foundation | VM yazılım araçları | 13.xxx | Windows, Linux | 13.0.5.0 |
| VMware vSphere Foundation | ||||
| VMware ARIA İşlemleri | VMware ARIA İşlemleri | 8.x | Herhangi | 8.18.5 |
| VM yazılım araçları | N/A | 13.xx | Windows, Linux | 13.0.5 |
| VM yazılım araçları | N/A | 12.xx, 11.xx | Windows, Linux | 12.5.4 |
| VMware Cloud Foundation | VMware ARIA İşlemleri | 5.x, 4.x | Herhangi | KB92148 |
| VMware Telco Bulut Platformu | VMware ARIA İşlemleri | 5.x, 4.x | Herhangi | 8.18.5 |
| VMware Telco Bulut Altyapısı | VMware ARIA İşlemleri | 3.x, 2.x | Herhangi | 8.18.5 |