多重漏洞影响VMware Aria Operations和VMware Tools可能导致权限提升
MS-ISAC咨询编号: 2025-092
发布日期: 2025年9月30日
概述
在VMware Aria Operations和VMware Tools中发现多个漏洞,其中最严重的漏洞可能允许权限提升至root权限。VMware Aria是一个多云管理平台,为跨私有云、公有云和混合云环境的应用程序和基础设施提供自动化、运营和成本管理功能。成功利用这些漏洞中最严重的漏洞可能允许权限提升至root权限。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。
威胁情报
NVISO表示,自2024年10月中旬以来,与中国有关的威胁行为者UNC5174已在野外将漏洞CVE-2025-41244作为零日漏洞进行利用。
受影响系统
- VMware Cloud Foundation Operations 9.0.1.0之前版本
- VMware Tools 13.0.5.0、13.0.5和12.5.4之前版本
- VMware Aria Operations 8.18.5之前版本
风险等级
政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
企业:
- 大型和中型企业实体:高
- 小型企业实体:中
家庭用户: 低
技术详情
在VMware Aria Operations和VMware Tools中发现多个漏洞,其中最严重的漏洞可能允许权限提升至root权限。漏洞详情如下:
战术: 权限提升(TA0004)
技术: 利用漏洞进行权限提升(T1068):
-
具有非管理权限的恶意本地参与者,访问安装了VMware Tools并由启用了SDMP的Aria Operations管理的VM,可能利用此漏洞将权限提升至同一VM上的root权限。(CVE-2025-41244)
-
在Aria Operations中具有非管理权限的恶意参与者可能利用此漏洞泄露Aria Operations其他用户的凭据。(CVE-2025-41245)
-
在客户机VM上具有非管理权限且已通过vCenter或ESX进行身份验证的恶意参与者可能利用此问题访问其他客户机VM。成功利用需要了解目标VM以及vCenter或ESX的凭据。(CVE-2025-41246)
成功利用这些漏洞中最严重的漏洞可能允许权限提升至root权限。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。
修复建议
我们建议采取以下措施:
-
在适当的测试后立即将Broadcom或其他使用此软件的供应商提供的适当更新应用到易受攻击的系统。(M1051:更新软件)
-
保护措施7.1:建立和维护漏洞管理流程
-
保护措施7.2:建立和维护修复流程
-
保护措施7.4:执行自动化应用程序补丁管理
-
保护措施7.5:执行内部企业资产的自动化漏洞扫描
-
保护措施7.7:修复检测到的漏洞
-
保护措施12.1:确保网络基础设施是最新的
-
保护措施18.1:建立和维护渗透测试计划
-
保护措施18.2:执行定期外部渗透测试
-
保护措施18.3:修复渗透测试发现的问题
-
对所有系统和服务应用最小权限原则。以非特权用户(没有管理权限的用户)身份运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)
-
保护措施4.7:管理企业资产和软件上的默认账户
-
保护措施5.5:建立和维护服务账户清单
-
漏洞扫描用于发现潜在可利用的软件漏洞并进行修复。(M1016:漏洞扫描)
-
保护措施16.13:执行应用程序渗透测试
-
对网络部分进行架构设计以隔离关键系统、功能或资源。使用物理和逻辑分段防止访问可能敏感的系统信息。使用DMZ包含不应从内部网络暴露的任何面向互联网的服务。配置单独的虚拟私有云(VPC)实例以隔离关键云系统。(M1030:网络分段)
-
保护措施12.2:建立和维护安全的网络架构
-
使用功能检测和阻止可能导致或表明软件漏洞利用发生的条件。(M1050:漏洞利用保护)
-
保护措施10.5:启用反漏洞利用功能
参考链接
CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-41244
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-41245
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-41246
NVISO
https://blog.nviso.eu/2025/09/29/you-name-it-vmware-elevates-it-cve-2025-41244/