UNC5174

Source: NVISO (blog). Dans un billet signé par Maxime, NVISO présente une analyse technique de VShell, un outil d’intrusion en langue chinoise observé dans des activités d’espionnage à long terme, avec un suivi d’infrastructure mené sur plusieurs mois et des notifications de victimes réalisées avec l’appui de Team Cymru. NVISO indique que VShell est utilisé par plusieurs acteurs (étatiques et indépendants). Plusieurs intrusions ont été publiquement attribuées à UNC5174 (supposé courtier d’accès initial lié au MSS chinois), souvent via l’exploitation de systèmes exposés. Toutefois, la disponibilité publique et l’usage élargi de VShell empêchent une attribution exclusive à UNC5174. L’activité observée augmente en Amérique du Sud, Afrique et APAC. ...

Selon BleepingComputer, Broadcom a corrigé une vulnérabilité d’élévation de privilèges de gravité élevée affectant VMware Aria Operations et VMware Tools, qui faisait l’objet d’exploits zero‑day depuis octobre 2024. Broadcom a corrigé une vulnérabilité d’élévation de privilèges locale critique (CVE-2025-41244) dans VMware Aria Operations et VMware Tools, exploitée comme zero-day depuis octobre 2024 par le groupe chinois UNC5174. Cette faille permet à un utilisateur local non privilégié d’exécuter du code avec des privilèges root en plaçant un binaire malveillant dans des chemins accessibles en écriture (notamment /tmp/httpd), exploité ensuite par les mécanismes de découverte de services VMware via des expressions régulières trop larges. ...

Source: blog.nviso.eu (NVISO, Maxime Thiebaut) — NVISO détaille l’exploitation zero‑day de CVE-2025-41244, une élévation de privilèges locale affectant la découverte de services de VMware Tools et VMware Aria Operations, observée in‑the‑wild depuis mi‑octobre 2024 et officiellement divulguée par Broadcom le 29 septembre 2025. • Vulnérabilité et impact La faille (CWE‑426: Untrusted Search Path) provient de la logique du script get-versions.sh (open‑vm‑tools) utilisant des regex trop larges (classe \S) qui peuvent faire correspondre et exécuter des binaires non système (ex. /tmp/httpd) en contexte privilégié. Impact: exécution de code avec des privilèges élevés (root) par un utilisateur local non privilégié, dans les deux modes de découverte: credential-based (logique côté Aria Operations) et credential-less (logique dans VMware Tools). • Produits et composants concernés ...