Sió-Informatika Rendszerház

HÍREK

⚠️ VMware Zero-Day sebezhetőség: Kína-kapcsolt hackerek aktívan támadják 2024 októbere óta

VMware Zero-Day sérülékenység

Broadcom kiadta a VMSA-2025-0015 biztonsági közleményt, amely hat VMware terméket érintő sebezhetőséget részletez – ezek közül négy High / Important besorolású. A legveszélyesebb közülük a CVE-2025-41244, amely egy helyi jogosultság-kiterjesztési sebezhetőség (CVSS 7.8), és amelyet már aktívan kihasználnak.

🔎 A sebezhetőség technikai részletei

A hiba a VMware Aria Operations és a VMware Tools (beleértve az Open VM Tools-t is) komponenseiben található, különösen a Service Discovery / SDMP modulban.

  • Egy nem adminisztrátori jogosultsággal rendelkező felhasználó kihasználhatja a hibát, és root szintű hozzáférést szerezhet a vendég VM-en.
  • A sérülékenység oka:
    • veszélyes reguláris kifejezések használata,
    • felhasználó által írható könyvtárak (pl. /tmp) bevonása a keresési útvonalba.
  • Ez lehetővé teszi, hogy a támadó egy hamis binárist helyezzen el, amit a VMware root jogosultsággal futtat – így root shell szerezhető.

👉 Egy proof-of-concept exploit már létezik, ami bizonyítja a könnyű kihasználhatóságot.

🎯 Aktív kihasználás a vadonban

  • A sebezhetőséget 2024 októbere óta aktívan használják ki – jelentette az NVISO Labs.
  • A támadásokat a UNC5174 nevű, Kínához köthető állami hátterű csoporthoz kapcsolják.
  • A csoport ismert arról, hogy SAP, Ivanti és F5 BIG-IP sérülékenységeket is rendszeresen kihasznál, majd oldalsó mozgással terjeszkedik a hálózatban.

👉 Bár a sebezhetőség „csak” helyi, az UNC5174 az elsődleges hozzáférés megszerzése után rutinszerűen használta a root jogosultság megszerzésére.

🕵️ UNC5174: államilag támogatott hackercsoport

  • Kapcsolat: Feltételezhetően a kínai MSS (Ministry of State Security) alvállalkozója.
  • Korábbi támadások:
    • 2023: amerikai védelmi cégek és brit kormányzati hálózatok.
    • 2024: ConnectWise ScreenConnect (CVE-2024-1709) – több száz észak-amerikai intézmény.
    • 2025 május: SAP NetWeaver sérülékenység (CVE-2025-31324), kritikus infrastruktúrák ellen is.

🛠️ Egyéb sérülékenységek a közleményben

  • CVE-2025-41245 – Információszivárgás az Aria Operations-ben (CVSS 4.9)
  • CVE-2025-41246 – Jogosultságkezelési hiba VMware Tools for Windows-ban (CVSS 7.6)

📌 Érintett termékek

  • VMware Cloud Foundation: 4.x, 5.x, 9.x, 13.x
  • VMware vSphere Foundation: 9.x, 13.x
  • VMware Aria Operations: minden 8.x verzió
  • VMware Tools / Open VM Tools: 11.x, 12.x, 13.x
  • VMware Telco Cloud Platform: 4.x, 5.x
  • VMware Telco Cloud Infrastructure: 2.x, 3.x

🔐 Javítások és ajánlások

Patchelt verziók:

  • VMware Tools: 13.0.5.0, 12.5.4 (Windows 32-bit: 12.4.9)
  • VMware Aria Operations: 8.18.5
  • Cloud Foundation / VCF Ops: 9.0.1.0

👉 Nincs hivatalos workaround – a frissítés azonnali telepítése kötelező.

Kiegészítő védelem:

  • Korlátozd a helyi felhasználók jogait vendég VM-eken.
  • Tiltsd az írható könyvtárakat (/tmp) a szolgáltatásfelismerés során.
  • Figyeld a vmtoolsd által indított szokatlan folyamatokat.
  • Alkalmazz hálózati szegmentációt a VM-ek között.
  • Vizsgáld át a rendszert gyanús binárisok után (indikátorok /tmp-ben).

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!