Selon BleepingComputer, Broadcom a corrigé une vulnérabilité d’élévation de privilèges de gravité élevée affectant VMware Aria Operations et VMware Tools, qui faisait l’objet d’exploits zero‑day depuis octobre 2024.
Broadcom a corrigé une vulnérabilité d’élévation de privilèges locale critique (CVE-2025-41244) dans VMware Aria Operations et VMware Tools, exploitée comme zero-day depuis octobre 2024 par le groupe chinois UNC5174. Cette faille permet à un utilisateur local non privilégié d’exécuter du code avec des privilèges root en plaçant un binaire malveillant dans des chemins accessibles en écriture (notamment /tmp/httpd), exploité ensuite par les mécanismes de découverte de services VMware via des expressions régulières trop larges.
La vulnérabilité affecte les modes de découverte des services de VMware Aria Operations (mode avec identification) et VMware Tools (mode sans identification), permettant ainsi l’exécution de code à privilèges élevés sur la machine virtuelle ciblée. UNC5174, acteur étatique chinois, a utilisé cette faille dans des attaques ciblées pour obtenir un accès root sur les environnements virtualisés, ce qui souligne la gravité et l’exploitation avancée de ce problème.
Les spécialistes recommandent de déployer immédiatement les correctifs Broadcom publiés fin septembre 2025 et de surveiller toute activité suspecte liée aux processus VMware, notamment les exécutions inhabituelles depuis les répertoires temporaires. Le durcissement des permissions d’écriture dans les dossiers utilisés par VMware est aussi conseillé pour limiter la surface d’attaque. Cette vulnérabilité démontre comment une erreur logique dans un script de découverte peut mener à une escalade critique de privilèges.
- 🔧 Produits concernés: VMware Aria Operations et VMware Tools.
- ⚠️ Nature de la faille: élévation de privilèges (sévérité élevée).
- 🕒 Chronologie: exploitation active depuis octobre 2024 en tant que zero‑day.
L’information met en avant que des attaques ont profité de cette faille avant la publication des correctifs, soulignant le caractère zero‑day de la vulnérabilité.
Cet article est une communication orientée « patch » signalant la disponibilité des correctifs pour une faille activement exploitée et visant à informer sur les produits impactés et la nature de la vulnérabilité.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/chinese-hackers-exploiting-vmware-zero-day-since-october-2024/