VMware Tools ve VMware ARIA operasyonlarında sıfır günlük yerel ayrıcalık artış güvenlik açığı vahşi doğada aktif olarak kullanılmaktadır. CVE-2025-41244 olarak izlenen kusur, etkilenen sistemlerde kök seviyesi kod yürütme kazanmasına izin verir.
29 Eylül 2025’te Broadcom, VMware’in konuk hizmet keşif özelliklerinde bulunan güvenlik açığını açıkladı. Bununla birlikte, güvenlik firması Nviso, olay müdahale katılımları sırasında Ekim 2024 ortasına kadar uzanan bu kusurun sıfır günlük sömürüsünün belirlendiğini bildirdi.
Güvenlik açığı hem VMware araçlarını hem de VMware ARIA işlemlerini, sanallaştırılmış ortamları yönetmek için kullanılan temel bileşenleri etkiler. Başarılı sömürü, düşük ayrıcalıklara sahip bir kullanıcının, Linux sistemlerindeki kök kullanıcı gibi ayrıcalıklı bir bağlamda keyfi kod yürütmesine izin verir.
Kusur, iki farklı hizmet keşif modunu etkiler:
- Kimlik bilgisiz hizmet keşfi: Bu modda, güvenlik açığı, konuk sanal makinelerine yaygın olarak dağıtılan VMware Araçları bileşeninin kendisinde yer alır.
- Eski Kimlik Bilgisi Tabanlı Hizmet Keşfi: Burada kusur, hibrid bulut iş yükleri için yönetim platformu olan VMware ARIA İşlemleri içinde yer almaktadır.
Nviso araştırmacıları, VMware Tools’un açık kaynaklı varyantında kusurun var olduğunu doğruladı, open-vm-toolsen büyük Linux dağıtımları ile dağıtılır.
0 günlük güvenlik açığı sömürüsü
CVE-2025-41244’ün temel nedeni, güvenilmeyen bir arama yolu zayıflığıdır (CWE-426) get-versions.sh Sanal bir makinede çalışan hizmetlerin sürümlerini tanımlamaktan sorumlu olan komut dosyası.
Komut dosyası, hizmet ikili dosyalarını bulmak için aşırı geniş normal ifadeler kullanır. Örneğin, gibi bir desen /\S+/httpd Apache web sunucusu ikili bulmak için tasarlanmıştır, ancak aynı zamanda bir dosyayı da eşleştirecektir. httpd kullanıcı tarafından satın alınabilir bir dizinde yer almak /tmp.
Bir saldırgan, kötü amaçlı bir yürütülebilir dosyayı gibi bir yola yerleştirerek bunu kullanabilir. /tmp/httpd. Daha sonra bu kötü niyetli işlemi çalıştırırlar ve bir dinleme soketi açarlar. VMware Service Keşif İşlemi çalıştığında (genellikle her beş dakikada bir), çalıştırma hizmetleri için tarar.
Kusurlu senaryo, saldırganın kötü niyetli ikili ikili olarak bulacak ve yürütecek -v Sürümünü almak için bayrak, ancak bunu VMware Tools hizmetinin yüksek ayrıcalıkları ile yapar. Bu, saldırgana bir kök kabuğu sağlar ve onlara sistem üzerinde tam kontrol sağlar.
Nviso, Wild Wilding’i Çin Devleti tarafından desteklendiğine inanılan bir tehdit oyuncusu olan UNC5174’e bağladı. Bu grubun, ilk erişim işlemleri için kamu istismarlarından yararlanma geçmişi vardır.
Bununla birlikte, araştırmacılar, istismarın önemsiz doğası ve ortak tehdit oyuncusu, sistem ikili dosyalardan sonra kötü amaçlı yazılımları adlandırmanın uygulaması nedeniyle (örneğin, httpd), UNC5174’ün kusuru kasıtlı veya yanlışlıkla kullanıp kullanmadığı belirsizdir. Diğer kötü amaçlı yazılımların yıllardır bu ayrıcalık artışından kasıtsız olarak yararlanması mümkündür.
Kuruluşlar, tarafından ortaya çıkan olağandışı çocuk süreçlerini izleyerek sömürüyü tespit edebilir. vmtoolsd veya get-versions.sh senaryo. Kimlik bilgisi tabanlı modda, adli kanıtlar /tmp/VMware-SDMP-Scripts-{UUID}/ dizinler.
Broadcom yamalar yayınladı ve CVE-2025-41244’e hitap etmek için bir güvenlik danışmanlığı yayınladı ve kullanıcıların güncellemeleri hemen uygulamaları isteniyor.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
