VMware与CVE-2025-41244漏洞

2025年9月29日，Broadcom发布安全公告披露了多个产品中的安全漏洞，其中CVE-2025-41244特别值得关注，CVSS评分为7.8。该漏洞通过VMware Tools和VMware Aria Operations实现本地权限提升。

Broadcom描述称：“拥有非管理权限并访问安装了VMware Tools且由启用了SDMP的Aria Operations管理的虚拟机的本地攻击者，可以利用此漏洞将其权限提升至同一虚拟机上的root用户。”

实际上，已以本地用户身份访问虚拟机的攻击者可利用此漏洞获得"root"权限，即系统的最高访问权限。这对于执行恶意命令非常有用。

该漏洞由NVISO的Maxime Thiebaut在处理事件时发现。他解释说漏洞存在于get_version()函数中，该函数使用正则表达式检查进程。问题源于过于通用的\S字符（匹配任何非空白字符）使用，使得位于非特权用户可访问目录（如/tmp/）中的恶意二进制文件能够匹配。攻击者可以放置恶意二进制文件（例如/tmp/httpd来模仿系统二进制文件）并获得提升的权限。

被利用近一年的漏洞

根据NVISO Labs发布的报告，此漏洞自2024年10月中旬以来一直被积极利用。报告还明确提到了一个网络犯罪组织名称：UNC5174，这是一个由中国支持的组织。该组织已被跟踪多年，以利用其他产品（如Ivanti和SAP NetWeaver）中的漏洞而闻名。

“在整个事件响应任务中，NVISO确定UNC5174确实触发了本地权限提升。然而，我们无法确定此漏洞利用是否是UNC5174能力的一部分，或者由于漏洞的简单性，零日的使用是否纯属偶然。”

如何防护？

首先，以下是受此零日漏洞影响的产品列表：

• VMware Cloud Foundation 4.x和5.x
• VMware Cloud Foundation 9.x.x.x和13.x.x.x（Windows、Linux）
• VMware vSphere Foundation 9.x.x.x和13.x.x.x（Windows、Linux）
• VMware Aria Operations 8.x
• VMware Tools 11.x.x、12.x.x和13.x.x（Windows、Linux）
• VMware Telco Cloud Platform 4.x和5.x
• VMware Telco Cloud Infrastructure 2.x和3.x

Broadcom已发布此安全漏洞的补丁，特别是适用于Windows和Linux的VMware Tools 12.5.4和VMware Tools 13.0.5。“作为VMware Tools 12.5.4一部分的VMware Tools 12.4.9也解决了Windows 32位的问题，“Broadcom指出。还计划发布修正版的open-vm-tools，并通过Linux发行版的仓库分发。

Broadcom网站包含一个总结表格，列出了受影响的产品和已修补的版本。建议您查阅该表格。无论如何，应用此补丁似乎很重要。

最近几天，Broadcom还发布了另一个安全公告，涉及VMware vCenter和NSX中的3个漏洞。