Broadcom telah menambal kerentanan eskalasi hak istimewa tingkat tinggi dalam operasi VMware ARIA dan perangkat lunak VMware Tools, yang telah dieksploitasi dalam serangan nol-hari sejak Oktober 2024.
Sementara raksasa teknologi Amerika tidak menandai bug keamanan ini (CVE-2025-41244) seperti yang dieksploitasi di alam liar, itu berterima kasih kepada peneliti ancaman nviso Maxime Thiebaut untuk melaporkan bug di bulan Mei.
Namun, kemarin, perusahaan cybersecurity Eropa mengungkapkan bahwa kerentanan ini pertama kali dieksploitasi di awal liar pertengahan Oktober 2024 dan mengaitkan serangan itu dengan aktor ancaman yang disponsori negara-China UNC5174.
“Untuk menyalahgunakan kerentanan ini, penyerang lokal yang tidak mampu dapat menggelar biner jahat di dalam jalur ekspresi reguler yang cocok secara luas. Lokasi umum sederhana, disalahgunakan di alam liar oleh UNC5174, IS /TMP /HTTPD,” Thiebaut menjelaskan.
“Untuk memastikan biner berbahaya diambil oleh penemuan layanan VMware, biner harus dijalankan oleh pengguna yang tidak mampu (yaitu, muncul di pohon proses) dan membuka setidaknya soket mendengarkan (acak).”
NVISO juga merilis eksploitasi pembuktian konsep yang menunjukkan bagaimana penyerang dapat mengeksploitasi cacat CVE-2025-41244 untuk meningkatkan hak istimewa pada sistem yang menjalankan operasi ARIA VMware yang rentan (dalam mode berbasis kredensial) dan perangkat lunak VMware (dalam mode kredensial), yang akhirnya mendapatkan kode root-level pada VM.
Seorang juru bicara Broadcom tidak segera tersedia untuk dikomentari ketika dihubungi oleh BleepingComputer sebelumnya hari ini.
Siapa UNC5174?
Analis Keamanan Google Mandiant, yang percaya UNC5174 adalah kontraktor untuk Kementerian Keamanan Negara China (MSS), telah mengamati aktor ancaman Menjual Akses ke Jaringan Kontraktor Pertahanan ASEntitas pemerintah Inggris, dan lembaga Asia pada akhir 2023, setelah serangan yang mengeksploitasi F5 BIG-IP CVE-2023-46747 kerentanan eksekusi kode jarak jauh.
Pada bulan Februari 2024, ia juga mengeksploitasi CVE-2024-1709 ConnectWise Screenconnect Flaw untuk melanggar ratusan dari kita dan institusi Kanada.
Awal tahun ini, pada bulan Mei, UNC5174 juga dikaitkan dengan di-The-Wild Eksploitasi CVE-2025-31324 cacat unggahan file yang tidak aautentikasi Itu memungkinkan penyerang untuk mendapatkan eksekusi kode jarak jauh pada server Netweaver Visual Composer yang rentan.
Aktor ancaman Tiongkok lainnya (misalnya, Chaya_004, UNC5221, dan CL-S-0048) juga bergabung dengan gelombang serangan ini, kembali lebih dari 580 instance SAP Netweaver, termasuk infrastruktur kritis di Inggris dan Amerika Serikat.
Pada hari Senin, Broadcom juga Menambal dua kerentanan VMware NSX tingkat tinggi Dilaporkan oleh Badan Keamanan Nasional AS (NSA).
Di bulan Maret, perusahaan Memperbaiki tiga bug Zero-Day VMware yang dieksploitasi secara aktif (CVE-2025-22224, CVE-2025-22225, dan CVE-2025-22226) dilaporkan oleh Microsoft Ancaman Intelijen Pusat.
