Pada hari Kamis, CISA memperingatkan lembaga-lembaga pemerintah AS untuk mengamankan sistem mereka dari serangan yang mengeksploitasi kerentanan tingkat tinggi pada perangkat lunak VMware Aria Operations dan VMware Tools milik Broadcom.
Dilacak sebagai CVE-2025-41244 Dan ditambal satu bulan yang lalukerentanan ini memungkinkan penyerang lokal dengan hak istimewa non-administratif ke mesin virtual (VM) dengan VMware Tools dan dikelola oleh Aria Operations dengan SDMP diaktifkan untuk meningkatkan hak istimewa untuk melakukan root pada VM yang sama.
CISA ditambahkan cacatnya Katalog Kerentanan yang Dieksploitasi yang Diketahuiyang berisi daftar bug keamanan yang telah ditandai oleh badan keamanan siber sebagai dieksploitasi secara liar. Badan-badan Cabang Eksekutif Sipil Federal (FCEB) kini memiliki waktu tiga minggu, hingga 20 November, untuk memperbaiki sistem mereka dari serangan yang sedang berlangsung, sebagaimana diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01 yang dikeluarkan pada November 2021.
Badan-badan FCEB adalah badan-badan non-militer di dalam cabang eksekutif AS, termasuk Departemen Keamanan Dalam Negeri, Departemen Energi, Departemen Keuangan, dan Departemen Kesehatan dan Layanan Kemanusiaan.
Meskipun BOD 22-01 hanya berlaku untuk lembaga federal, CISA mendesak semua organisasi untuk memprioritaskan penambalan kerentanan ini sesegera mungkin.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA memperingatkan. “Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Dieksploitasi dalam serangan sejak Oktober lalu
Broadcom hari ini menandai CVE-2025-41244 sebagai eksploitasi liar, satu bulan setelah Maxime Thiebaut dari perusahaan keamanan siber Eropa NVISO melaporkan bahwa pelaku ancaman yang disponsori negara UNC5174 Tiongkok telah menyalahgunakannya dalam serangan. sejak pertengahan Oktober 2024.
Pada saat itu, Thiebaut juga merilis kode bukti konsep yang menunjukkan bagaimana CVE-2025-41244 dapat dieksploitasi untuk meningkatkan hak istimewa pada sistem yang menjalankan VMware Aria Operations yang rentan (dalam mode berbasis kredensial) dan VMware Tools (dalam mode tanpa kredensial), yang pada akhirnya memungkinkan penyerang mendapatkan eksekusi kode tingkat root pada VM.
Analis keamanan Google Mandiant, yang menandai UNC5174 sebagai kontraktor Kementerian Keamanan Negara (MSS) Tiongkok, mengamati aktor ancaman tersebut menjual akses ke jaringan kontraktor pertahanan ASentitas pemerintah Inggris, dan institusi Asia pada akhir tahun 2023, menyusul serangan yang mengeksploitasi kerentanan eksekusi kode jarak jauh F5 BIG-IP (CVE-2023-46747).
Pada bulan Februari 2024, UNC5174 juga mengeksploitasi a Cacat ConnectWise ScreenConnect (CVE-2024-1709) untuk melanggar ratusan institusi AS dan Kanada, dan pada bulan Mei dikaitkan dengan serangan yang menyalahgunakan cacat unggah file NetWeaver yang tidak diautentikasi (CVE-2025-31324) yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh di server NetWeaver Visual Composer yang belum dipatch.
Sejak awal tahun, Broadcom telah melakukannya memperbaiki tiga bug zero-day VMware lainnya yang dieksploitasi secara aktif (CVE-2025-22224, CVE-2025-22225, dan CVE-2025-22226) dilaporkan oleh Microsoft Threat Intelligence Center dan merilis patch keamanan untuk mengatasinya dua kerentanan VMware NSX dengan tingkat keparahan tinggi (CVE-2025-41251 dan CVE-2025-41252) dilaporkan oleh Badan Keamanan Nasional AS (NSA).
