La recente segnalazione della CISA ha portato l’attenzione su una vulnerabilità zero-day di elevata gravità che colpisce Broadcom VMware Tools e VMware Aria Operations. Questo problema di sicurezza, identificato come CVE-2025-41244 con un punteggio CVSS di 7.8, consente a un attaccante di ottenere privilegi root su un sistema vulnerabile. L’agenzia ha inserito la vulnerabilità nel catalogo KEV, che elenca i bug già sfruttati attivamente in attacchi reali.

La falla riguarda una gestione non sicura delle azioni privilegiate nei prodotti VMware, in particolare quando VMware Tools è installato e gestito tramite Aria Operations con la funzione SDMP attiva. Un attore malevolo, anche senza permessi amministrativi, può sfruttare questa debolezza per eseguire un’escalation di privilegi fino a controllare completamente la macchina virtuale interessata.

Broadcom ha pubblicato una patch a settembre, ma secondo i ricercatori di NVISO Labs la vulnerabilità era già oggetto di exploit come zero-day prima della correzione ufficiale, almeno dalla metà di ottobre 2024. NVISO Labs ha individuato per la prima volta la falla durante una risposta a incidente a maggio. L’attività malevola viene attribuita a un gruppo APT sponsorizzato dalla Cina, tracciato da Google Mandiant come UNC5174. Gli esperti sottolineano come lo sfruttamento della vulnerabilità non richieda competenze avanzate, rendendola particolarmente pericolosa e accessibile anche a cyber criminali non sofisticati.

I dettagli tecnici relativi al payload utilizzato dopo l’attacco non sono stati divulgati, per evitare ulteriori abusi. Tuttavia, è confermato che la vulnerabilità permette a utenti non privilegiati di ottenere esecuzione di codice con i massimi permessi sul sistema.

Altre vulnerabilità nel catalogo KEV

Oltre alla falla VMware, nel catalogo KEV è stata inserita anche una vulnerabilità critica di eval injection su XWiki, che consente l’esecuzione remota di codice tramite una richiesta apposita all’endpoint /bin/get/Main/SolrSearch. Recenti analisi di VulnCheck hanno osservato tentativi di sfruttamento attivo per installare miner di criptovaluta, dimostrando la rapida adozione di queste vulnerabilità da parte degli attaccanti.

La CISA richiede a tutte le agenzie federali civili di implementare le mitigazioni necessarie entro il 20 novembre 2025, al fine di proteggere le proprie reti da minacce attive che sfruttano queste vulnerabilità. Questo episodio sottolinea l’importanza di un aggiornamento tempestivo e di una vigilanza costante sulle nuove minacce che colpiscono infrastrutture critiche e applicazioni ampiamente utilizzate in ambito enterprise.