Una falla de seguridad recientemente corregida que afecta a Broadcom VMware Tools y VMware Aria Operations ha sido explotada como Zero-Day desde mediados de octubre de 2024 por un actor de amenazas llamado UNC5174, según NVISO Labs.

La vulnerabilidad en cuestión es CVE-2025-41244 (CVSS: 7.8), un error de escalamiento de privilegios locales que afecta a las siguientes versiones:

 

  • VMware Cloud Foundation 4.x y 5.x
  • VMware Cloud Foundation 9.x.x.x
  • VMware Cloud Foundation 13.x.x.x (Windows, Linux)
  • VMware vSphere Foundation 9.x.x.x
  • VMware vSphere Foundation 13.x.x.x (Windows, Linux)
  • VMware Aria Operations 8.x
  • VMware Tools 11.x.x, 12.x.x y 13.x.x (Windows, Linux)
  • VMware Telco Cloud Platform 4.x y 5.x
  • VMware Telco Cloud Infrastructure 2.x y 3.x

 

“Un agente local malicioso con privilegios no administrativos que tenga acceso a una máquina virtual con VMware Tools instalado y administrado por Aria Operations con SDMP habilitado podría explotar esta vulnerabilidad para escalar privilegios a root en la misma máquina virtual”, declaró VMware en un aviso publicado ayer.

El hecho de que se trate de un escalamiento de privilegios local significa que el atacante tendrá que asegurar el acceso al dispositivo infectado por otros medios.

Se atribuye al investigador de NVISO, Maxime Thiebaut, el descubrimiento y reporte de la falla el 19 de mayo de 2025, durante una intervención de respuesta a incidentes. La compañía también indicó que VMware Tools 12.4.9, que forma parte de VMware Tools 12.5.4, soluciona el problema para sistemas Windows de 32 bits, y que los proveedores de Linux distribuirán una versión de open-vm-tools que soluciona CVE-2025-41244.

Si bien Broadcom no menciona su explotación en ataques reales, NVISO Labs atribuyó la actividad a un actor de amenazas vinculado a China, al que Google Mandiant rastrea como UNC5174 (también conocido como Uteus o Uetus), con un historial de explotación de diversas vulnerabilidades de seguridad, incluyendo las que afectan a Ivanti y SAP NetWeaver, para obtener acceso inicial a los entornos objetivo.

“Cuando se explota con éxito el escalamiento de privilegios locales, los usuarios sin privilegios pueden ejecutar código en contextos privilegiados (por ejemplo, root)”, declaró Thiebaut. “Sin embargo, no podemos determinar si esta explotación formaba parte de las capacidades de UNC5174 o si el uso del día cero fue meramente accidental debido a su trivialidad”.

NVISO indicó que la vulnerabilidad se origina en una función llamada get_version()

que toma un patrón de expresión regular (regex) como entrada para cada proceso con un socket de escucha, verifica si el binario asociado a ese proceso coincide con el patrón y, de ser así, invoca el comando de versión del servicio compatible.

Si bien esta funcionalidad funciona correctamente con binarios del sistema (p. ej., /usr/bin/httpd), el uso de la clase de carácter “\S” de coincidencia amplia (que coincide con caracteres que no son espacios en blanco) en varios patrones de expresiones regulares también coincide con binarios ajenos al sistema (p. ej., /tmp/httpd). Estos binarios ajenos al sistema se encuentran en directorios (p. ej., /tmp) que, por diseño, permiten la escritura a usuarios sin privilegios.

Como resultado, esto abre la puerta a un posible abuso por parte de un atacante local sin privilegios al almacenar el binario malicioso en “/tmp/httpd”, lo que resulta en el escalamiento al ejecutar la recopilación de métricas de VMware. Todo lo que un atacante necesita para aprovechar la falla es asegurarse de que el binario sea ejecutado por un usuario sin privilegios y que abra un socket de escucha aleatorio.

La empresa de ciberseguridad con sede en Bruselas indicó que observó que UNC5174 utilizaba la ubicación “/tmp/httpd” para preparar el binario malicioso, generar una shell con privilegios elevados y lograr la ejecución del código. La naturaleza exacta de la carga útil ejecutada con este método no está clara en este momento.

“La práctica generalizada de imitar binarios del sistema (por ejemplo, httpd) pone de manifiesto la posibilidad real de que varias otras cepas de malware se hayan beneficiado accidentalmente de escalamiento de privilegios involuntarias durante años”, afirmó Thiebaut.

Nviso ha publicado una prueba de concepto (PoC) que facilita el ataque y por eso es prioridad aplicar el parche.

Fuente: Segu Info