Un’importante vulnerabilità di sicurezza, identificata come CVE-2025-41244 con un punteggio CVSS di 7.8, ha colpito Broadcom VMware Tools e VMware Aria Operations. Questa falla di tipo local privilege escalation è stata sfruttata attivamente come zero-day da metà ottobre 2024 dal gruppo di cybercriminali UNC5174, collegato alla Cina. Il problema riguarda numerose versioni, tra cui VMware Cloud Foundation, vSphere Foundation, Aria Operations e VMware Tools sia su Windows che su Linux, oltre a piattaforme Telco Cloud.

Dettagli della vulnerabilità

La vulnerabilità consente a un attaccante locale, dotato di privilegi non amministrativi, di ottenere l’esecuzione di codice con privilegi elevati (root) sulla stessa macchina virtuale. Per poterla sfruttare, il malintenzionato deve già aver ottenuto accesso al sistema tramite altri metodi, come phishing o vulnerabilità precedenti. VMware ha rilasciato una patch che risolve il problema, invitando tutti gli utenti ad aggiornare immediatamente i sistemi coinvolti, in particolare VMware Tools 12.4.9 per Windows 32-bit, e annuncia che una versione aggiornata di open-vm-tools sarà distribuita dai vendor Linux.

Meccanismo di attacco

La vulnerabilità risiede nella funzione get_version() che, sfruttando pattern regex troppo permissivi, permette anche ai binari non di sistema (ad esempio posizionati in /tmp) di essere eseguiti con privilegi elevati. Questo significa che un attaccante può piazzare un binario malevolo in una directory scrivibile da utenti non privilegiati e ottenere così l’escalation dei privilegi ogni volta che il servizio di raccolta metriche di VMware viene eseguito. NVISO Labs ha osservato gli attori UNC5174 utilizzare proprio questa tecnica, posizionando il payload malevolo in /tmp/httpd per ottenere una shell root.

Attività del gruppo UNC5174

Sebbene Broadcom non abbia inizialmente confermato l’exploit attivo, le ricerche di NVISO e di altri analisti di sicurezza dimostrano che il gruppo UNC5174 ha una lunga storia di sfruttamento di vulnerabilità zero-day per ottenere accesso iniziale alle infrastrutture di grandi aziende, incluse falle precedenti in Ivanti e SAP NetWeaver.

Raccomandazioni per la sicurezza

La pratica di mascherare malware come binari di sistema evidenzia come molte altre minacce potrebbero aver beneficiato involontariamente di escalation dei privilegi non intenzionali per anni. Gli amministratori e i responsabili IT sono quindi fortemente invitati a verificare la presenza della patch e ad aggiornare senza indugio le piattaforme VMware coinvolte per prevenire attacchi futuri e proteggere i dati aziendali.