Broadcom近日修補了多個VMware產品的高風險漏洞,其中一項權限提升漏洞CVE-2025-41244已遭中國國家級駭客組織UNC5174從2024年10月起進行零時差攻擊。資安公司NVISO Labs揭露,這項漏洞的利用方式極其簡單,甚至可能讓多種惡意軟體在過去數年間「無意中」獲得權限提升的能力。
漏洞技術細節與影響範圍
CVE-2025-41244是一個本地權限提升漏洞,CVSS評分為7.8,影響VMware Tools和VMware Aria Operations等多項產品。受影響版本包括VMware Cloud Foundation 4.x和5.x、VMware vSphere Foundation、VMware Aria Operations 8.x、VMware Tools 11.x至13.x版本,以及VMware Telco Cloud Platform和Infrastructure等產品線。
NVISO研究員Maxime Thiebaut分析開源版本open-vm-tools後發現,VMware Tools的服務探索(service discovery)功能在尋找連接元件版本的過程中,會給予使用者提升的權限。問題出在get_version()函數使用了過於寬鬆的正規表達式(regex)模式,原本設計用來比對系統二進位檔案如/usr/bin/httpd,但由於使用了\S字元類別(比對非空白字元),同時也會比對到非系統二進位檔案,例如/tmp/httpd這類位於可寫入目錄的檔案。
Thiebaut形容這個漏洞的執行過程「簡單到令人難以置信」,
攻擊者只需要將惡意二進位檔案命名為系統檔案的名稱,VMware就會自動提升其權限。攻擊者可以利用這個能力來搜尋和發現非系統二進位檔案,包括惡意程式,並透過權限提升元件代為執行惡意軟體。
中國駭客組織的攻擊活動
根據NVISO的事件回應單位調查,中國國家級駭客組織UNC5174從2024年10月中旬開始利用這個零時差漏洞。該組織在/tmp/httpd位置部署惡意二進位檔案,產生提升權限的root shell並執行程式碼。不過NVISO指出,由於這個漏洞的利用方式過於簡單,研究人員無法確定UNC5174是否刻意利用這個漏洞,還是在攻擊過程中「意外」觸發了權限提升。
Google Mandiant安全分析師認為UNC5174是中國國家安全部(MSS)的承包商。該組織過去曾在2023年底利用F5 BIG-IP的CVE-2023-46747遠端程式碼執行漏洞,販售美國國防承包商、英國政府單位和亞洲機構的網路存取權限。2024年2月,
UNC5174還利用ConnectWise ScreenConnect的CVE-2024-1709漏洞入侵數百個美國和加拿大機構。今年5月,該組織更被發現利用
SAP NetWeaver的CVE-2025-31324檔案上傳漏洞,在全球580多個NetWeaver實例植入後門,包括英美兩國的關鍵基礎設施。
相關文章:中國駭客集團發動「ShadowPad」與「PurpleHaze」雙重攻擊,資安商成目標
其他VMware漏洞修補
除了CVE-2025-41244,Broadcom同時修補了另外兩個VMware漏洞。CVE-2025-41245是VMware Aria Operations的資訊洩露(information disclosure)漏洞,CVE-2025-41246則是VMware Tools for Windows的不當授權(improper authorization)漏洞。
此外,Broadcom也修補了美國國家安全局(NSA)通報的兩個VMware NSX高風險漏洞。CVE-2025-41251是密碼恢復機制的弱點,讓未經驗證的攻擊者能夠列舉有效的使用者名稱,可能被用於後續的暴力破解攻擊。CVE-2025-41252同樣是使用者名稱列舉漏洞,可能導致未授權的存取嘗試。
Broadcom還修補了VMware vCenter的SMTP標頭注入(header injection)漏洞CVE-2025-41250,讓擁有非管理員權限且有建立排程任務權限的攻擊者,能夠操控排程任務發送的通知郵件。
偵測與緩解措施
NVISO表示,CVE-2025-41244的利用行為「很容易被偵測」,透過監控可疑的程序就能發現攻擊活動。由於這是本地權限提升漏洞,若偵測到濫用行為,表示攻擊者已經取得受影響裝置的存取權限,應該會有其他偵測機制被觸發。
Broadcom在安全公告中指出,目前只能透過安裝對應的修補程式來修復漏洞,沒有其他因應措施或緩解方法。企業應根據使用的VMware產品版本,盡速套用相關更新:
- VMware Tools 12.4.9(包含在VMware Tools 12.5.4中)修復Windows 32位元系統的問題
- Linux廠商將發布修復CVE-2025-41244的open-vm-tools版本
- 各受影響產品線都已推出對應的安全更新
值得注意的是,這個漏洞存在的時間可能遠超過目前已知的攻擊時間。Thiebaut指出,
由於惡意軟體普遍會模仿系統二進位檔案的命名方式,很可能已有多個惡意軟體家族在過去數年間「意外地」受益於這個非預期的權限提升漏洞。加上這些漏洞在open-vm-tools原始碼中很容易被發現,NVISO認為在他們發現之前,就已經有人知道這個權限提升漏洞存在。
企業應立即檢查所有VMware產品的版本,優先修補已知被利用的CVE-2025-41244漏洞,並加強監控系統中的可疑程序活動,特別是在/tmp等可寫入目錄中出現與系統二進位檔案同名的檔案。