Broadcom ha parcheado una vulnerabilidad de escalada de privilegios de alta severidad en su software VMware Aria Operations y VMware Tools, que se ha explotado en ataques de día cero desde octubre de 2024.
Mientras que el gigante de la tecnología estadounidense no etiquetó este error de seguridad (CVE-2025-41244) como se explota en la naturaleza, Agradecido al investigador de amenazas de NVISO Maxime Thiebaut para informar el error en mayo.
Sin embargo, ayer, la compañía europea de ciberseguridad reveló que esta vulnerabilidad fue explotada por primera vez en la naturaleza a partir de mediados de octubre de 2024 y vinculó los ataques con el actor de amenazas patrocinado por el estado de UNC5174 chino.
«Para abusar de esta vulnerabilidad, un atacante local no privilegiado puede organizar un binario malicioso dentro de cualquiera de las rutas de expresión regulares ampliamente combinadas. Una ubicación común simple, abusada en la naturaleza por UNC5174, IS /TMP /HTTPD», «,», » Thiebaut explicó.
«Para garantizar que el binario malicioso sea recogido por el descubrimiento del servicio VMware, el usuario no privilegiado debe ejecutar el binario (es decir, aparecer en el árbol de proceso) y abrir al menos una toma escucha (aleatoria)».
NVISO también publicó una exploit de prueba de concepto que demuestra cómo los atacantes pueden explotar el defecto CVE-2025-41244 para aumentar los privilegios de los sistemas que ejecutan las operaciones vulnerables de VMware Aria (en modo basado en credenciales) y el software VMware (en modo sin credencial), que finalmente ganan una ejecución de código de nivel raíz en la VM.
Un portavoz de Broadcom no estuvo disponible de inmediato para hacer comentarios cuando fue contactado por BleepingComuter hoy.
¿Quién es UNC5174?
Los analistas de seguridad de Google Mandiant, que creen que UNC5174 es un contratista del Ministerio de Seguridad del Estado (MSS) de China, han observado el actor de amenazas Vender acceso a redes de contratistas de defensa estadounidensesEntidades gubernamentales del Reino Unido e instituciones asiáticas a fines de 2023, luego de ataques que explotaron la vulnerabilidad de la ejecución del código remoto F5 Big-IP CVE-2023-46747.
En febrero de 2024, también explotó el CVE-2024-1709 ENCHUENCON ENCHUNTONECT para violar cientos de instituciones estadounidenses y canadienses.
A principios de este año, en mayo, UNC5174 también se vinculó con Explotación del CVE-2025-31324 Flaw de carga de archivo no autorenticado Eso permite a los atacantes obtener la ejecución de código remoto en los servidores vulnerables de NetWeaver Visual Composer.
Otros actores de amenaza china (por ejemplo, Chaya_004, UNC5221 y CL-STA-0048) también se unieron a esta ola de ataques, en el dorso de 580 instancias de SAP Netweaver, incluida la infraestructura crítica en el Reino Unido y los Estados Unidos.
El lunes, también Broadcom Patchó dos vulnerabilidades VMware NSX de alta severidad Reportado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA).
En marzo, la compañía Se corrigieron otros tres errores de día cero de VMware explotados activamente (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226) informados por el Centro de Inteligencia de Amenazas de Microsoft.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
