Корпоративные пользователи гипервизоров VMware столкнулись с серьезной угрозой безопасности - в активной эксплуатации находится уязвимость нулевого дня CVE-2025-41244, позволяющая локальному непривилегированному пользователю получать полный контроль над системой. Проблема затрагивает как VMware Tools (включая открытую версию open-vm-tools), так и модуль Service Discovery Management Pack (SDMP) в составе VMware Aria Operations, что создает риски для гибридных облачных сред.
Детали уязвимости
Согласно данным исследователей, уязвимостью с середины октября 2024 года активно пользуется хакерская группа UNC5174, что указывает на целевой характер атак и потенциальную угрозу создания устойчивых точек присутствия в корпоративных инфраструктурах. Оценка CVSS 3.1 для данной уязвимости составляет 7.8 баллов, что классифицирует ее как высокоопасную.
VMware Aria Operations, входящий в состав VMware Aria Suite, предоставляет возможности мониторинга производительности и планирования ресурсов виртуальных машин через плагин SDMP. Сервис обнаружения работает в двух режимах: с использованием учетных данных, когда скрипты сбора метрик выполняются под заданными административными учетными записями, и без учетных данных, где VMware Tools самостоятельно собирает метрики в привилегированном контексте.
Анализ специалистов NVISO показал, что CVE-2025-41244 присутствует в обоих режимах работы. В первом случае проблема заключена в скриптах Aria Operations, во втором - непосредственно в open-vm-tools. Источником уязвимости стали излишне широкие регулярные выражения в компоненте get-versions.sh.
Внутри get-versions.sh функция get_version() выполняет перебор процессов с открытыми сокетами и запускает соответствующие бинарные файлы для получения информации о версиях. Несколько шаблонов регулярных выражений используют сокращение \S (не-пробельный символ), которое может непреднамеренно соответствовать каталогам, доступным для записи пользователям, таким как /tmp/httpd. Это позволяет злоумышленнику разместить вредоносный бинарный файл в подобных расположениях и добиться его выполнения в привилегированном контексте VMware.
Конкретные примеры уязвимых регулярных выражений включают шаблоны для обнаружения веб-серверов и СУБД: get_version "/\S+/(httpd-prefork|httpd|httpd2-prefork)($|\s)" -v и get_version "/\S+/mysqld($|\s)" -V. Путем подмены системных бинарных файлов в доступных для записи путях CVE-2025-41244 нарушает принципы безопасного поиска (CWE-426), предоставляя тривиальные возможности для локального повышения привилегий.
Доказательство концепции эксплойта, написанное на языке Go, демонстрирует простоту атаки: непривилегированный процесс злоумышленника открывает прослушивающий сокет в /tmp/httpd, после чего VMware Tools или Aria Operations автоматически вызывают его с флагом -v. При вызове бинарный файл устанавливает обратное соединение через UNIX-сокет и создает оболочку с правами root.
На практике сборщик метрик Aria Operations в режиме с учетными данными запускается каждые пять минут, тогда как сбор без учетных данных в VMware Tools происходит автоматически, что создает постоянное окно для атаки.
В качестве мер противодействия специалисты рекомендуют немедленное применение обновлений безопасности, предоставленных Broadcom в соответствии с официальным бюллетенем. Для обнаружения попыток эксплуатации следует настроить мониторинг дочерних процессов vmtoolsd или Aria SDMP, запускающихся из нестандартных путей. Важным элементом защиты является усиление безопасности файловой системы через ограничение прав записи в каталогах, фигурирующих в регулярных выражениях, включая /tmp. Сетевые меры включают изоляцию гостевых виртуальных машин и ограничение их доступа к внутренним сетям для сокращения точек входа для атакующих.
CVE-2025-41244 наглядно демонстрирует, как незначительные логические ошибки в механизмах обнаружения служб могут приводить к критическим последствиям для безопасности. Тривиальность эксплуатации и подтвержденное использование уязвимости группировкой UNC5174 подчеркивают необходимость оперативного управления исправлениями, надежного мониторинга процессов и усиленной настройки гостевых виртуальных сред для противодействия подобным атакам нулевого дня.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-41244
- https://nvd.nist.gov/vuln/detail/CVE-2025-41244
- https://blog.nviso.eu/2025/09/29/you-name-it-vmware-elevates-it-cve-2025-41244/
- http://support.broadcom.com/group/ecx/support-content-view/-/support-content/Security%20Advisories/VMSA-2025-0015--VMware-Aria-Operations-and-VMware-Tools-updates-address-multiple-vulnerabilities--CVE-2025-41244-CVE-2025-41245--CVE-2025-41246-/36149
