El jueves, CISA advirtió a las agencias gubernamentales de EE. UU. que protejan sus sistemas contra ataques que exploten una vulnerabilidad de alta gravedad en el software VMware Aria Operations y VMware Tools de Broadcom.
Seguimiento como CVE-2025-41244 y parcheado hace un mesesta vulnerabilidad permite a atacantes locales con privilegios no administrativos en una máquina virtual (VM) con VMware Tools y administrada por Aria Operations con SDMP habilitado escalar privilegios a root en la misma VM.
CISA agregado el defecto de su Catálogo de vulnerabilidades explotadas conocidasque enumera los errores de seguridad que la agencia de ciberseguridad ha señalado como explotados en la naturaleza. Las agencias del Poder Ejecutivo Civil Federal (FCEB) ahora tienen tres semanas, hasta el 20 de noviembre, para parchear sus sistemas contra ataques en curso, según lo dispuesto por la Directiva Operativa Vinculante (BOD) 22-01 emitida en noviembre de 2021.
Las agencias FCEB son agencias no militares dentro del poder ejecutivo de los EE. UU., incluido el Departamento de Seguridad Nacional, el Departamento de Energía, el Departamento del Tesoro y el Departamento de Salud y Servicios Humanos.
Si bien BOD 22-01 solo se aplica a agencias federales, CISA instó a todas las organizaciones a priorizar la reparación de esta vulnerabilidad lo antes posible.
«Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberataques maliciosos y plantean riesgos importantes para la empresa federal», advirtió CISA. «Aplique las mitigaciones según las instrucciones del proveedor, siga la guía BOD 22-01 aplicable para servicios en la nube o suspenda el uso del producto si las mitigaciones no están disponibles».
Explotados en ataques desde octubre pasado
Broadcom ha señalado que CVE-2025-41244 está siendo explotado en la naturaleza hoy, un mes después de que Maxime Thiebaut, de la empresa europea de ciberseguridad NVISO, informara que el actor de amenazas patrocinado por el estado chino UNC5174 había estado abusando de él en ataques. desde mediados de octubre de 2024.
En ese momento, Thiebaut también lanzó un código de prueba de concepto que demuestra cómo se puede explotar CVE-2025-41244 para escalar privilegios en sistemas que ejecutan VMware Aria Operations vulnerables (en modo basado en credenciales) y VMware Tools (en modo sin credenciales), lo que en última instancia permite a los atacantes obtener la ejecución de código a nivel raíz en la VM.
Los analistas de seguridad de Google Mandiant, que etiquetaron a UNC5174 como contratista del Ministerio de Seguridad del Estado (MSS) de China, observaron al actor de amenazas. vender acceso a redes de contratistas de defensa estadounidensesentidades gubernamentales del Reino Unido e instituciones asiáticas a finales de 2023, luego de ataques que explotaban una vulnerabilidad de ejecución remota de código F5 BIG-IP (CVE-2023-46747).
En febrero de 2024, UNC5174 también aprovechó un Fallo de ConnectWise ScreenConnect (CVE-2024-1709) para violar cientos de instituciones estadounidenses y canadienses, y en mayo se vinculó con ataques que abusaban de una falla en la carga de archivos no autenticados de NetWeaver (CVE-2025-31324) que permite a los atacantes obtener la ejecución remota de código en servidores NetWeaver Visual Composer sin parches.
Desde principios de año, Broadcom ha Se corrigieron otros tres errores de día cero de VMware explotados activamente. (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) informado por el Centro de inteligencia de amenazas de Microsoft y parches de seguridad publicados para abordar dos vulnerabilidades de alta gravedad de VMware NSX (CVE-2025-41251 y CVE-2025-41252) informado por la Agencia de Seguridad Nacional de EE. UU. (NSA).
El 46% de los entornos tenían contraseñas descifradas, casi el doble que el 25% del año pasado.
Obtenga ahora el Informe Picus Blue 2025 para obtener una visión completa de más hallazgos sobre tendencias de prevención, detección y filtración de datos.
