Investigadores han revelado que el actor APT UNC5174 (vinculado a China, posiblemente asociado al MSS) ha estado explotando activamente la vulnerabilidad CVE-2025-41244, un fallo de escalamiento de privilegios locales en productos VMware, desde al menos octubre de 2024. Broadcom ya ha liberado un parche para mitigar esta falla de alta severidad.
Explotación de Escalación de Privilegios en VMware
La vulnerabilidad CVE-2025-41244 permite a un atacante con acceso a la máquina virtual (pero sin privilegios elevados) escalar sus permisos para obtener acceso de raíz (root) y ejecutar código arbitrario en el sistema o en el host de VMware.
Mecanismo de Explotación
El ataque explota la forma en que un servicio de VMware inspecciona ciertas rutas del sistema para la detección, un mecanismo que puede ser manipulado:
- Colocación de Binario: El atacante coloca un binario malicioso en una ruta que el servicio de VMware monitorea para la detección, como /tmp/httpd.
- Activación del Binario: El usuario no privilegiado debe ejecutar ese binario (hacer que aparezca en el árbol de procesos) y obligarlo a abrir al menos un socket de escucha (incluso si es aleatorio).
- Escalada: Este comportamiento es recogido por los mecanismos del servicio VMware, lo que permite al atacante escalar privilegios y ejecutar código a nivel de raíz (root) dentro del entorno afectado.
Productos Afectados y Riesgo
- Alcance: La explotación puede aplicarse tanto en VMware Aria Operations (en modo con credenciales) como en VMware Tools (en modo sin credenciales).
- Riesgo Crítico: El hecho de que VMware Tools sea vulnerable “sin credenciales” pone a las máquinas virtuales con esta herramienta activa en un riesgo particularmente elevado si un atacante ya tiene un punto de apoyo inicial.
Recomendaciones
- Aplicar Parche Inmediatamente
- Actualización Crítica: Actualiza los productos VMware afectados (Aria Operations, VMware Tools) a las versiones liberadas por Broadcom que corrigen el CVE-2025-41244.
- Verificación: Confirma que el parche se haya aplicado correctamente en todas las máquinas virtuales e instancias.
- Control de Rutas y Permisos Locales
- Restricción de Escritura: Restringe los permisos para que los usuarios sin privilegios no puedan escribir binarios en rutas que el servicio VMware pueda inspeccionar (por ejemplo, rutas temporales como /tmp).
- Control de Ejecutables: Asegúrate de que solo los usuarios autorizados puedan instalar binarios ejecutables en entornos virtuales críticos.
- Monitoreo de Comportamiento Anómalo
- Alertas de Sockets: Configura alertas de seguridad para detectar cuando procesos inesperados abren sockets de escucha, especialmente si provienen de directorios temporales o se ejecutan dentro del contexto de los servicios de VMware.
- Monitoreo de Creación: Monitorea la creación y ejecución de binarios en rutas no habituales dentro del contexto de las máquinas virtuales.
- Aislamiento y Mínimo Privilegio
- Limitar Privilegios de Usuario: Limita los privilegios de los usuarios dentro de la máquina virtual para que, si son comprometidos, no puedan instalar o ejecutar código malicioso fácilmente, reduciendo así la posibilidad de explotar este tipo de fallas de escalamiento local.
