CISA nakazuje agencjom federalnym załatać lukę w VMware Tools wykorzystywaną od października 2024 r. - Security Bez Tabu

CISA nakazuje agencjom federalnym załatać lukę w VMware Tools wykorzystywaną od października 2024 r.

Wprowadzenie do problemu / definicja luki

CISA ostrzegła, że luka CVE-2025-41244 dotycząca VMware Tools oraz VMware Aria Operations jest aktywnie wykorzystywana. Błąd umożliwia lokalne podniesienie uprawnień do roota na maszynie wirtualnej (VM), jeśli spełnione są określone warunki konfiguracyjne. Agencjom FCEB w USA wyznaczono termin do 20 listopada 2025 r. na załatanie systemów; podatność trafiła do KEV (Known Exploited Vulnerabilities).

W skrócie

  • CVE-2025-41244: lokalny EoP w VMware Tools/Aria Operations (CVSS do 7,8). Warunek: VM z VMware Tools zarządzany przez Aria Operations z SDMP (Service Discovery Management Pack) włączonym. Brak obejść – tylko aktualizacja.
  • Eksploatacja: potwierdzona „in the wild”, przypisywana grupie UNC5174; początki co najmniej w połowie października 2024 r.
  • Terminy: CISA wymaga patchowania w FCEB do 20.11.2025 (BOD 22-01).
  • Wydane poprawki: m.in. VMware Tools 13.0.5 / 12.5.4 oraz Aria Operations 8.18.5; open-vm-tools dostarczają dystrybucje Linuksa.

Kontekst / historia / powiązania

Broadcom (VMware) opublikował VMSA-2025-0015 29 września 2025 r., aktualizowany 30 października 2025 r., obejmujący trzy luki: CVE-2025-41244 (EoP), CVE-2025-41245 (ujawnienie informacji w Aria Ops) oraz CVE-2025-41246 (niewłaściwe autoryzowanie w VMware Tools dla Windows). Zgodnie z informacjami producenta oraz analizami zewnętrznymi, CVE-2025-41244 była wykorzystywana jako zero-day od 2024 r., zanim pojawiły się łatki.

CISA dodała te podatności (w szczególności CVE-2025-41244) do KEV, co zgodnie z BOD 22-01 uruchamia obowiązkowe okno remediacji dla agencji federalnych. Media branżowe (BleepingComputer) podają wprost deadline 20 listopada 2025 r.

Analiza techniczna / szczegóły luki

  • Wektor ataku: napastnik z lokalnym kontem nie-admina na VM może eskalować uprawnienia do root/SYSTEM, jeżeli:
    1. na VM zainstalowano VMware Tools,
    2. VM jest zarządzany przez Aria Operations,
    3. w Aria włączono SDMP.
  • Zakres wersji (wg MS-ISAC/CIS): podatne VMware Tools < 13.0.5 / 12.5.4 (oraz 13.0.5 dla niektórych pakietów), Aria Operations < 8.18.5, VCF Operations < 9.0.1.0.
  • Szczegóły exploitacji: analiza NVISO wskazuje nadużycie funkcji z dopasowaniami regex w get_version(), z obserwowanym stagingiem plików m.in. w /tmp/httpd podczas przygotowania payloadu do eskalacji.
  • Dodatkowe luki z VMSA:
    • CVE-2025-41245 – wyciek poświadczeń w Aria Ops (CVSS 4,9).
    • CVE-2025-41246 – niewłaściwe autoryzowanie w VMware Tools dla Windows; wymaga uwierzytelnienia w vCenter/ESXi i znajomości haseł, może umożliwić dostęp do innych VM.

Praktyczne konsekwencje / ryzyko

  • Po kompromitacji punktu wejścia (np. przez phish lub inną lukę) atakujący mogą wykorzystać CVE-2025-41244 do szybkiego podniesienia uprawnień i utrwalenia się na VM, co ułatwia ruch lateralny w środowiskach multi-tenant i MSP.
  • Użycie SDMP w Aria Operations poszerza powierzchnię ataku — organizacje, które go włączają, muszą traktować patch jak priorytet typu „now”.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast aktualizuj do wersji naprawczych:
    • VMware Tools: 13.0.5 (gałąź 13.x) lub 12.5.4 (gałąź 12.x; 12.4.9 dla 32-bit Windows w pakiecie 12.5.4).
    • Aria Operations: 8.18.5.
    • VCF Operations: 9.0.1.0.
    • open-vm-tools (Linux): zastosuj wydania od dystrybutorów.
  2. Zweryfikuj konfigurację SDMP w Aria Operations; jeżeli nie jest niezbędny, rozważ tymczasowe wyłączenie do czasu pełnej remediacji. (Brak oficjalnych obejść; producent zaleca patch).
  3. Hunting / IOCs: przeszukaj hosty pod kątem podejrzanych binariów umieszczanych w ścieżkach jak /tmp/httpd oraz artefaktów wskazujących na nadużycie get_version()/regex.
  4. Utwierdź kontrolę uprawnień: egzekwuj zasadę least privilege dla kont w VM i rolach Aria Ops; zrewiduj konta serwisowe i rotuj poświadczenia.
  5. Zarządzanie lukami: włącz CVE-2025-41244 do backlogu „patch within 72h” (priorytet 1) i monitoruj KEV pod kątem zmian.
  6. Testy regresji: po aktualizacji narzędzi/agentów w VM zweryfikuj integracje (backupy, EDR, monitoring) oraz zgodność narzędzi automatyzujących gościa.

Różnice / porównania z innymi przypadkami

  • W odróżnieniu od wcześniejszych, host-escape luk w ESXi/Workstation, CVE-2025-41244 jest lokalne (wewnątrz VM) i wymaga włączonego SDMP; nadal jednak świetnie nadaje się post-exploitation do utrzymania i lateralnego ruchu.
  • W stosunku do CVE-2025-41246 (improper authorization w Tools for Windows), 41244 daje bezpośrednie EoP, podczas gdy 41246 wymaga dodatkowych warunków (uwierzytelnienie w vCenter/ESXi i znajomość haseł).

Podsumowanie / kluczowe wnioski

  • Patch teraz: luka jest aktywnie wykorzystywana co najmniej od 10.2024, a CISA dała sektorowi federalnemu twardy termin 20.11.2025.
  • Zaktualizuj VMware Tools, Aria Operations i powiązane komponenty zgodnie z VMSA-2025-0015; brak obejść.
  • Wykonaj hunting pod kątem śladów /tmp/httpd i innych artefaktów opisanych przez badaczy; wzmocnij kontrolę uprawnień.

Źródła / bibliografia

  1. BleepingComputer — CISA orders feds to patch VMware Tools flaw exploited since October 2024 (30.10.2025). (BleepingComputer)
  2. CISA — Known Exploited Vulnerabilities (KEV) Catalog; wpisy dot. VMware Tools/Aria Operations dodane 30–31.10.2025. (cisa.gov)
  3. Broadcom (VMware) — VMSA-2025-0015 / .1: VMware Aria Operations and VMware Tools updates address multiple vulnerabilities (29.09.2025; aktualizacja 30.10.2025). (Support Portal)
  4. Field Effect — Broadcom patches VMware flaw used by China-based threat actor (01.10.2025). (fieldeffect.com)
  5. CIS/MS-ISAC — Multiple Vulnerabilities in VMware Aria Operations and VMware Tools Could Allow for Privilege Escalation (30.09.2025). (CIS)