A Broadcom divulgou o patch para uma vulnerabilidade de escalonamento de privilégios classificada como de alta gravidade em seus softwares VMware Aria Operations e VMware Tools.
Essa falha vem sendo explorada em ataques de zero-day desde outubro de 2024.
Embora a empresa americana não tenha confirmado inicialmente que a vulnerabilidade (
CVE-2025-41244
) estava sendo explorada em ambiente real, ela agradeceu ao pesquisador de ameaças Maxime Thiebaut, da NVISO, pela identificação do bug em maio deste ano.
Entretanto, ontem, a empresa europeia de cibersegurança NVISO revelou que a exploração ativa dessa falha começou em meados de outubro de 2024, atribuindo os ataques ao grupo de ameaças patrocinado pelo estado chinês UNC5174.
“Para explorar essa vulnerabilidade, um invasor local sem privilégios pode colocar um binário malicioso em qualquer caminho que corresponda a expressões regulares amplamente monitoradas pelo sistema.
Um caminho comum, utilizado pelo UNC5174 na prática, é /tmp/httpd”, explicou Thiebaut.
Ele acrescentou ainda que “para garantir que o binário malicioso seja detectado pelo serviço de descoberta da VMware, ele deve ser executado pelo usuário sem privilégios (deve aparecer na árvore de processos) e abrir ao menos um socket de escuta (randomizado).”
A NVISO também publicou um exploit de prova de conceito que demonstra como invasores podem usar essa falha para escalar privilégios em sistemas vulneráveis com VMware Aria Operations (modo com credenciais) e VMware Tools (modo sem credenciais), alcançando execução de código com privilégios root na máquina virtual.
Tentamos contato com a Broadcom para obter um posicionamento, mas até o momento não obtivemos resposta.
Analistas de segurança da Google Mandiant, que apontam o grupo UNC5174 como um contratado do Ministério de Segurança do Estado da China (MSS), observaram o grupo vendendo acesso a redes de contratantes de defesa dos EUA, entidades governamentais do Reino Unido e instituições asiáticas no final de 2023.
Esses acessos foram obtidos após ataques que exploraram a vulnerabilidade de execução remota de código no F5 BIG-IP (
CVE-2023-46747
).
Em fevereiro de 2024, UNC5174 também explorou a falha CVE-2024-1709 no ConnectWise ScreenConnect, comprometendo centenas de instituições nos Estados Unidos e Canadá.
Já em maio, o grupo foi vinculado à exploração em ambiente real da vulnerabilidade
CVE-2025-31324
, que permite upload não autenticado de arquivos e execução remota de código em servidores NetWeaver Visual Composer vulneráveis.
Outros grupos ligados à China, como Chaya_004, UNC5221 e CL-STA-0048, participaram dessa mesma série de ataques, comprometendo mais de 580 instâncias SAP NetWeaver, incluindo infraestruturas críticas no Reino Unido e nos EUA.
Na segunda-feira, a Broadcom também divulgou patches para duas vulnerabilidades de alta gravidade no VMware NSX, identificadas pela Agência de Segurança Nacional dos Estados Unidos (NSA).
Em março, a empresa já havia corrigido três outras falhas zero-day ativamente exploradas no VMware, registradas sob os códigos
CVE-2025-22224
,
CVE-2025-22225
e
CVE-2025-22226
, reportadas pelo Microsoft Threat Intelligence Center.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...