CVE-2025-41244

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

Selon GBHackers Security, la CISA a émis une alerte concernant l’exploitation active d’une vulnérabilité critique touchant les environnements virtualisés Broadcom/VMware. Vulnérabilité: CVE-2025-41244 (0‑day) Produits concernés: VMware Tools et VMware Aria Operations Nature: Élévation de privilèges Impact: possibilité pour un attaquant d’obtenir un accès root sur les systèmes compromis La CISA met en garde contre le risque élevé pour les organisations gérant des infrastructures virtualisées, compte tenu du potentiel d’élévation de privilèges à un niveau système. ...

Selon BleepingComputer, Broadcom a corrigé une vulnérabilité d’élévation de privilèges de gravité élevée affectant VMware Aria Operations et VMware Tools, qui faisait l’objet d’exploits zero‑day depuis octobre 2024. Broadcom a corrigé une vulnérabilité d’élévation de privilèges locale critique (CVE-2025-41244) dans VMware Aria Operations et VMware Tools, exploitée comme zero-day depuis octobre 2024 par le groupe chinois UNC5174. Cette faille permet à un utilisateur local non privilégié d’exécuter du code avec des privilèges root en plaçant un binaire malveillant dans des chemins accessibles en écriture (notamment /tmp/httpd), exploité ensuite par les mécanismes de découverte de services VMware via des expressions régulières trop larges. ...

Source: blog.nviso.eu (NVISO, Maxime Thiebaut) — NVISO détaille l’exploitation zero‑day de CVE-2025-41244, une élévation de privilèges locale affectant la découverte de services de VMware Tools et VMware Aria Operations, observée in‑the‑wild depuis mi‑octobre 2024 et officiellement divulguée par Broadcom le 29 septembre 2025. • Vulnérabilité et impact La faille (CWE‑426: Untrusted Search Path) provient de la logique du script get-versions.sh (open‑vm‑tools) utilisant des regex trop larges (classe \S) qui peuvent faire correspondre et exécuter des binaires non système (ex. /tmp/httpd) en contexte privilégié. Impact: exécution de code avec des privilèges élevés (root) par un utilisateur local non privilégié, dans les deux modes de découverte: credential-based (logique côté Aria Operations) et credential-less (logique dans VMware Tools). • Produits et composants concernés ...