Un nuevo fallo de seguridad, ahora parcheado, en Broadcom VMware Tools y VMware Aria Operations ha sido explotado como un zero-day desde mediados de octubre de 2024 por el grupo de amenazas UNC5174, según NVISO Labs. La vulnerabilidad, identificada como CVE-2025-41244 (con una puntuación CVSS de 7.8), es un bug de escalación de privilegios local que afecta a VMware Cloud Foundation, vSphere Foundation, Aria Operations, VMware Tools y Telco Cloud Platform en diversas versiones.

La vulnerabilidad permite a un atacante local no administrativo con acceso a una VM con VMware Tools instalado y gestionado por Aria Operations con SDMP habilitado, escalar privilegios a root. Para explotar esta vulnerabilidad, el atacante debe obtener acceso inicial al dispositivo afectado. NVISO researcher Maxime Thiebaut descubrió la vulnerabilidad el 19 de mayo de 2025, durante una respuesta a incidentes.

NVISO observó que el grupo UNC5174 utilizaba la ubicación “/tmp/httpd” para alojar el binario malicioso y generar un shell root elevado para ejecutar código. La vulnerabilidad reside en la función “get_version()”, que utiliza expresiones regulares (regex) para identificar procesos con sockets de escucha y verificar si el binario asociado coincide con el patrón, ejecutando el comando de versión del servicio correspondiente. La utilización de la clase de caracteres \S en las expresiones regulares permite que coincida con binarios no pertenecientes al sistema, alojados en directorios como /tmp, que son modificables por usuarios sin privilegios, abriendo la puerta a la escalación de privilegios. La mitigación para Windows 32-bit systems esta incluida en VMware Tools 12.4.9, que es parte de VMware Tools 12.5.4 y las distribuciones de Linux proveerán open-vm-tools que address CVE-2025-41244.

Fuente original: Ver aquí