Na quinta-feira, a CISA alertou agências do governo dos Estados Unidos para reforçarem a segurança de seus sistemas contra ataques que exploram uma vulnerabilidade crítica nos softwares VMware Aria Operations e VMware Tools, da Broadcom.
Identificada como
CVE-2025-41244
e corrigida há um mês, essa falha permite que atacantes locais, mesmo sem privilégios administrativos, em uma máquina virtual (VM) com VMware Tools e gerenciada pelo Aria Operations com o SDMP ativado, escalem privilégios para root na mesma VM.
A CISA inclui essa vulnerabilidade em seu catálogo Known Exploited Vulnerabilities, que reúne falhas confirmadamente exploradas em ataques reais.
As agências do Federal Civilian Executive Branch (FCEB) têm até 20 de novembro — ou seja, três semanas — para aplicar o patch e proteger seus sistemas, conforme exigido pela Binding Operational Directive (BOD) 22-01, emitida em novembro de 2021.
Essas agências são órgãos civis do Poder Executivo americano, excluindo as forças militares, e incluem departamentos como Homeland Security, Energy, Treasury e Health and Human Services.
Embora a BOD 22-01 seja obrigatória apenas para essas agências federais, a CISA recomenda que todas as organizações priorizem a correção dessa vulnerabilidade o quanto antes.
“Esse tipo de falha é um vetor frequente para atores maliciosos e representa riscos significativos para a infraestrutura federal”, alertou a CISA.
“Aplique as mitigations conforme as instruções do fornecedor, siga as orientações da BOD 22-01 para serviços em nuvem, ou descontinue o uso do produto caso mitigations não estejam disponíveis.”
A Broadcom confirmou que a
CVE-2025-41244
está sendo explorada ativamente desde que Maxime Thiebaut, da empresa europeia de cibersegurança NVISO, revelou que o grupo chinês patrocinado pelo Estado UNC5174 vinha abusando dessa falha em ataques desde meados de outubro de 2024.
Na ocasião, Thiebaut também disponibilizou um código de prova de conceito que demonstra como explorar a
CVE-2025-41244
para escalonar privilégios em sistemas vulneráveis com VMware Aria Operations (modo baseado em credenciais) e VMware Tools (modo sem credenciais), permitindo a execução de código com privilégios root na VM.
Analistas de segurança da Google Mandiant identificaram o UNC5174 como um contratante do Ministério da Segurança do Estado Chinês (MSS).
Em 2023, o grupo vendeu acesso a redes de contratantes de defesa dos EUA, órgãos governamentais do Reino Unido e instituições asiáticas, após explorar uma vulnerabilidade de execução remota de código no F5 BIG-IP (
CVE-2023-46747
).
Em fevereiro de 2024, o UNC5174 explorou uma falha no ConnectWise ScreenConnect (CVE-2024-1709) para invadir centenas de instituições nos EUA e Canadá.
Em maio, foi associado a ataques que abusaram de uma vulnerabilidade de upload não autenticado de arquivos no NetWeaver (
CVE-2025-31324
), que permite execução remota de código em servidores NetWeaver Visual Composer sem patch.
Desde o início do ano, a Broadcom corrigiu outras três falhas zero-day ativamente exploradas no VMware (
CVE-2025-22224
,
CVE-2025-22225
e
CVE-2025-22226
), reportadas pelo Microsoft Threat Intelligence Center.
Também lançou patches para duas vulnerabilidades críticas no VMware NSX (
CVE-2025-41251
e
CVE-2025-41252
), notificadas pela Agência de Segurança Nacional dos EUA (NSA).
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...