- 20,969
- 46
- 8 Ноя 2022
Хакеры показали, как легко повысить привилегии в VMware Aria.
Broadcom устранила серьёзную уязвимость повышения привилегий в VMware Aria Operations и VMware Tools, которая эксплуатировалась в нулевых атаках ещё с октября 2024 года. Проблема получила идентификатор CVE-2025-41244 . Хотя в официальном бюллетене компания не отметила факт эксплуатации в реальных условиях, исследователь из NVISO Максим Тибо сообщил о ней ещё в мае, а сама NVISO подтвердила активные атаки, начавшиеся в середине октября 2024 года. В ходе анализа атаки были связаны с китайской группировкой UNC5174.
Уязвимость позволяет локальному пользователю без привилегий разместить вредоносный бинарный файл в каталогах, подпадающих под широкие регулярные выражения. Один из вариантов, замеченный в реальных атаках, — использование директории /tmp/httpd. Для того чтобы вредонос распознался сервисом VMware, его необходимо запустить от имени обычного пользователя и открыть случайный сетевой сокет.
В результате злоумышленники получают возможность повысить права до уровня root и выполнить произвольный код внутри виртуальной машины. NVISO также опубликовала демонстрационный эксплойт, показывающий, как эта ошибка используется для компрометации VMware Aria Operations в режиме работы с учётными данными и VMware Tools в безучётном режиме.
По данным Google Mandiant, UNC5174 работает в интересах Министерства государственной безопасности Китая. В 2023 году группа продавала доступ к сетям подрядчиков оборонной отрасли США, правительственным структурам Великобритании и азиатским организациям, используя уязвимость CVE-2023-46747 в F5 BIG-IP.
В феврале 2024 года она применила CVE-2024-1709 в ConnectWise ScreenConnect, атаковав сотни учреждений в США и Канаде. Весной 2025 года группировка также была замечена в эксплуатации CVE-2025-31324 — ошибки загрузки файлов в NetWeaver Visual Composer, которая позволяла выполнять произвольный код. В атаках на SAP-системы участвовали и другие китайские коллективы, включая Chaya_004, UNC5221 и CL-STA-0048, установившие бэкдоры на более чем 580 экземпляров NetWeaver, в том числе в критически важных объектах инфраструктуры США и Великобритании.
Broadcom устранила серьёзную уязвимость повышения привилегий в VMware Aria Operations и VMware Tools, которая эксплуатировалась в нулевых атаках ещё с октября 2024 года. Проблема получила идентификатор CVE-2025-41244 . Хотя в официальном бюллетене компания не отметила факт эксплуатации в реальных условиях, исследователь из NVISO Максим Тибо сообщил о ней ещё в мае, а сама NVISO подтвердила активные атаки, начавшиеся в середине октября 2024 года. В ходе анализа атаки были связаны с китайской группировкой UNC5174.
Уязвимость позволяет локальному пользователю без привилегий разместить вредоносный бинарный файл в каталогах, подпадающих под широкие регулярные выражения. Один из вариантов, замеченный в реальных атаках, — использование директории /tmp/httpd. Для того чтобы вредонос распознался сервисом VMware, его необходимо запустить от имени обычного пользователя и открыть случайный сетевой сокет.
В результате злоумышленники получают возможность повысить права до уровня root и выполнить произвольный код внутри виртуальной машины. NVISO также опубликовала демонстрационный эксплойт, показывающий, как эта ошибка используется для компрометации VMware Aria Operations в режиме работы с учётными данными и VMware Tools в безучётном режиме.
По данным Google Mandiant, UNC5174 работает в интересах Министерства государственной безопасности Китая. В 2023 году группа продавала доступ к сетям подрядчиков оборонной отрасли США, правительственным структурам Великобритании и азиатским организациям, используя уязвимость CVE-2023-46747 в F5 BIG-IP.
В феврале 2024 года она применила CVE-2024-1709 в ConnectWise ScreenConnect, атаковав сотни учреждений в США и Канаде. Весной 2025 года группировка также была замечена в эксплуатации CVE-2025-31324 — ошибки загрузки файлов в NetWeaver Visual Composer, которая позволяла выполнять произвольный код. В атаках на SAP-системы участвовали и другие китайские коллективы, включая Chaya_004, UNC5221 и CL-STA-0048, установившие бэкдоры на более чем 580 экземпляров NetWeaver, в том числе в критически важных объектах инфраструктуры США и Великобритании.
- Источник новости
- www.securitylab.ru
