中国黑客利用 VMware 零日漏洞长达一年

广泛使用的 VMware 软件中的一个严重安全漏洞已被广泛利用了近一年时间，网络安全研究人员将此次攻击活动归咎于一个中国国家支持的黑客组织。

VMware 的母公司 Broadcom 已针对该漏洞发布了补丁，追踪为CVE-2025-41244、影响 VMware Aria Operations 的服务发现管理包 (SDMP) 和 VMware Tools (open-vm-tools) 的本地权限提升 (LPE)。

另请阅读：Chrome 再次遭遇重创：谷歌将于 2025 年修复第四个零日漏洞

该漏洞（CVSS 评分：7.8）允许在虚拟机 (VM) 内具有有限访问权限的攻击者获得完全管理员 (root) 权限。一旦进入，黑客就会完全控制虚拟机来运行恶意代码、窃取数据或安装后门以维持长期访问。

自 2024 年 10 月起被利用 

网络安全公司 NVISO 声称已发现证据，表明该零日漏洞从 2024 年 10 月中旬开始就被广泛利用，远早于补丁可用。这些攻击被归咎于 UNC5174，这是一个与中国有联系的组织，谷歌的 Mandiant 认为该组织是该国国家安全部的承包商。

UNC5174 有着利用新发现的软件漏洞的历史。过去，它们的目标是东南亚、美国和英国的研究和教育机构、企业、慈善机构、非政府组织和政府组织。

该漏洞是如何运作的

问题的核心是VMware的服务发现功能，它会扫描虚拟机以查看哪些程序正在运行。研究人员发现，这些扫描使用广泛的模式匹配来查找程序名称，这些程序名称可能会被欺骗，将恶意程序误认为是合法程序。

攻击者所需要做的就是将伪造的程序放置在临时文件夹中 - 例如，将其伪装为 /tmp/httpd（常见的 Web 服务器二进制名称）。当VMware扫描器运行时，它可能会认为假程序是真正的服务，并在不知不觉中以提升的权限执行攻击者的代码。这就是获得完全控制所需的一切。

NVISO 研究员 Maxime Thiebaut 表示：“听起来很简单，只要你能想到，VMware 都会提升它的水平。”报道2025 年 5 月向 Broadcom 报告了该缺陷。

受影响的版本

受 CVE-2025-41244 漏洞影响的版本包括：VMware Cloud Foundation 4.x 和 5.x、VMware Cloud Foundation 9.xxx、VMware Cloud Foundation 13.xxx（Windows、Linux）、VMware vSphere Foundation 9.xxx、VMware vSphere Foundation 13.xxx（Windows、Linux）、VMware Aria Operations 8.x、VMware Tools 11.xx、12.xx 和 13.xx（Windows、Linux）、VMware电信云平台 4.x 和 5.x，以及 VMware 电信云基础设施 2.x 和 3.x。

这对组织意味着什么 

由于这是一个本地提权漏洞，攻击者首先需要在虚拟机上立足。然而，一旦进入，该错误就可以轻松获得 root 访问权限。

NVISO 警告说，不仅与中国有关的组织 UNC5174，而且可能还有其他恶意软件可能多年来一直在利用这一漏洞。该公司甚至发布了概念验证 (PoC) 漏洞来演示攻击者获得 root 访问权限的速度。

博通的回应

 Broadcom 现已修复多个 VMware 产品中的缺陷，包括：

• VMware 工具（Windows 和 Linux）
• VMware Aria 操作 8.x
• VMware Cloud Foundation 版本 4.x 到 13.x
• VMware 电信云平台和基础架构

建议

为了保持保护，组织应立即应用 Broadcom 的补丁，并密切监控系统是否存在 VMware 服务启动的异常子进程。还建议安全团队强化临时目录，例如限制对 /tmp 的写入，并限制网络和用户对来宾虚拟机的访问，从而减少攻击者获得初步立足点的机会。

为什么它很重要

VMware 的缺陷凸显了即使是很小的疏忽也可能成为攻击者的强大工具。主动利用已经得到证实，快速修补、系统监控和限制攻击者入口点对于确保虚拟环境的安全至关重要。