CISA им нареди на федералните агенции да ја закрпат ранливоста во VMware Tools која ја искористија кинески хакери

Во четвртокот, CISA ги предупреди владините агенции на САД да ги заштитат своите системи од напади што ја експлоатираат сериозната ранливост во софтверите VMware Aria Operations и VMware Tools на Broadcom.

Ранливоста, означена како CVE-2025-41244 и закрпена пред еден месец, им овозможува на локални напаѓачи со неадминистраторски привилегии во виртуелна машина (VM) со инсталиран VMware Tools и управувана преку Aria Operations со вклучен SDMP, да ги зголемат своите привилегии до root на истата виртуелна машина.

CISA ја додаде оваа ранливост во својот каталог Known Exploited Vulnerabilities, кој ги содржи безбедносните пропусти што веќе се експлоатираат во реални напади. Федералните агенции во рамките на Federal Civilian Executive Branch (FCEB) имаат рок до 20 ноември да ги ажурираат своите системи, во согласност со Binding Operational Directive (BOD) 22-01, издадена во ноември 2021 година.

FCEB агенциите се немилитарни институции во извршната гранка на владата на САД, меѓу кои се Министерството за внатрешна безбедност, Министерството за енергетика, Министерството за финансии и Министерството за здравство и човечки услуги.

Иако BOD 22-01 се однесува само на федералните институции, CISA ги повика сите организации итно да ја закрпат оваа ранливост.

„Овој тип на ранливости често се користат како вектори за напади од злонамерни сајбер актери и претставуваат значителен ризик за федералните системи,“ предупреди CISA. „Применете ги препорачаните мерки од добавувачот, следете ги упатствата од BOD 22-01 за облачни услуги или престанете со користење на производот доколку не постојат достапни мерки за заштита.“

Експлоатирана во напади уште од минатиот октомври

Broadcom денеска потврди дека CVE-2025-41244 се експлоатира активно, еден месец откако Максим Тибо од европската сајбербезбедносна компанија NVISO пријави дека UNC5174, кинеска државно поддржана група, ја користи во напади уште од средината на октомври 2024 година.

Во тој период, Тибо објави и proof-of-concept (PoC) код што покажува како оваа ранливост може да се искористи за зголемување на привилегии на системи што користат VMware Aria Operations (во режим базиран на креденцијали) и VMware Tools (во режим без креденцијали), што им овозможува на напаѓачите root пристап до VM системите.

Безбедносните аналитичари од Google Mandiant, кои ја идентификуваа групата UNC5174 како изведувач за Министерството за државна безбедност на Кина (MSS), забележале дека оваа група продавала пристап до мрежи на американски одбранбени компании, британски владини институции и азиски организации во доцната 2023 година, по напади што ја користеле ранливоста во F5 BIG-IP (CVE-2023-46747).

Во февруари 2024, групата исто така ја искористила ранливоста во ConnectWise ScreenConnect (CVE-2024-1709) за да пробие стотици институции во САД и Канада, а во мај е поврзана со напади што ја злоупотребувале ранливоста CVE-2025-31324 во NetWeaver, која овозможува далечинско извршување код на незакрпени сервери.

Од почетокот на годинава, Broadcom поправи уште три други активно експлоатирани „zero-day“ пропусти во VMware (CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226), пријавени од Microsoft Threat Intelligence Center, и објави безбедносни ажурирања за две сериозни ранливости во VMware NSX (CVE-2025-41251 и CVE-2025-41252), пријавени од Агенцијата за национална безбедност на САД (NSA).

Извори:

• Bleeping Computer – „CISA orders feds to patch VMware Tools flaw exploited by Chinese hackers“ Bleeping Computer