博通修复VMware零日漏洞，UNC5174黑客组织已积极利用

博通公司修复了六个VMware漏洞，包括四个高危问题。其中一个被追踪为CVE-2025-41244（CVSS评分7.8）的漏洞，允许本地用户通过VMware Tools和Aria Operations提升至root权限。

“VMware Aria Operations和VMware Tools包含一个本地权限提升漏洞。博通评估此问题的严重程度属于重要级别，最大CVSSv3基础得分为7.8。”安全公告中写道，“具有非管理权限的恶意本地参与者，如果能够访问安装了VMware Tools并由启用SDMP的Aria Operations管理的虚拟机，可能利用此漏洞在同一虚拟机上将权限提升至root。”

自2024年10月中旬以来，与中国有关的威胁行为者UNC5174一直在野外利用CVE-2025-41244漏洞作为零日漏洞。

“2025年9月29日，博通披露了一个影响VMware客户服务发现功能的本地权限提升漏洞CVE-2025-41244。NVISO已识别出自2024年10月中旬开始的野外零日利用。”NVISO Labs发布的一份报告中写道，“在其事件响应活动中，NVISO确信UNC5174触发了本地权限提升。但我们无法评估此漏洞利用是否是UNC5174能力的一部分，或者零日漏洞的使用是否仅仅由于其简单性而偶然发生。UNC5174是一个中国国家支持的黑客组织，多次与通过公开漏洞利用实现的初始访问操作相关联。”

该漏洞影响以下版本：

• VMware Cloud Foundation 4.x和5.x
• VMware Cloud Foundation 9.x.x.x
• VMware Cloud Foundation 13.x.x.x（Windows、Linux）
• VMware vSphere Foundation 9.x.x.x
• VMware vSphere Foundation 13.x.x.x（Windows、Linux）
• VMware Aria Operations 8.x
• VMware Tools 11.x.x、12.x.x和13.x.x（Windows、Linux）
• VMware Telco Cloud Platform 4.x和5.x
• VMware Telco Cloud Infrastructure 2.x和3.x

博通还修复了VMware产品中的一个信息泄露漏洞（追踪为CVE-2025-41245）和一个不当授权漏洞（追踪为CVE-2025-41246）。补丁已针对Aria Ops、Tools、Cloud和Telco发布。