Iscriviti ora al Webinar di presentazione del corso Ethical Hacker! Scopri di più
Iscriviti ora al Webinar di presentazione del corso CISO! Scopri di più
Un’importante vulnerabilità di sicurezza, identificata come CVE-2025-41244 con un punteggio CVSS di 7.8, ha colpito Broadcom VMware Tools e VMware Aria Operations. Questa falla di tipo local privilege escalation è stata sfruttata attivamente come zero-day da metà ottobre 2024 dal gruppo di cybercriminali UNC5174, collegato alla Cina. Il problema riguarda numerose versioni, tra cui VMware Cloud Foundation, vSphere Foundation, Aria Operations e VMware Tools sia su Windows che su Linux, oltre a piattaforme Telco Cloud.
La vulnerabilità consente a un attaccante locale, dotato di privilegi non amministrativi, di ottenere l’esecuzione di codice con privilegi elevati (root) sulla stessa macchina virtuale. Per poterla sfruttare, il malintenzionato deve già aver ottenuto accesso al sistema tramite altri metodi, come phishing o vulnerabilità precedenti. VMware ha rilasciato una patch che risolve il problema, invitando tutti gli utenti ad aggiornare immediatamente i sistemi coinvolti, in particolare VMware Tools 12.4.9 per Windows 32-bit, e annuncia che una versione aggiornata di open-vm-tools sarà distribuita dai vendor Linux.
La vulnerabilità risiede nella funzione get_version() che, sfruttando pattern regex troppo permissivi, permette anche ai binari non di sistema (ad esempio posizionati in /tmp) di essere eseguiti con privilegi elevati. Questo significa che un attaccante può piazzare un binario malevolo in una directory scrivibile da utenti non privilegiati e ottenere così l’escalation dei privilegi ogni volta che il servizio di raccolta metriche di VMware viene eseguito. NVISO Labs ha osservato gli attori UNC5174 utilizzare proprio questa tecnica, posizionando il payload malevolo in /tmp/httpd per ottenere una shell root.
Sebbene Broadcom non abbia inizialmente confermato l’exploit attivo, le ricerche di NVISO e di altri analisti di sicurezza dimostrano che il gruppo UNC5174 ha una lunga storia di sfruttamento di vulnerabilità zero-day per ottenere accesso iniziale alle infrastrutture di grandi aziende, incluse falle precedenti in Ivanti e SAP NetWeaver.
La pratica di mascherare malware come binari di sistema evidenzia come molte altre minacce potrebbero aver beneficiato involontariamente di escalation dei privilegi non intenzionali per anni. Gli amministratori e i responsabili IT sono quindi fortemente invitati a verificare la presenza della patch e ad aggiornare senza indugio le piattaforme VMware coinvolte per prevenire attacchi futuri e proteggere i dati aziendali.