中國黑客利用VMware零日為一年

廣泛使用的VMware軟件的嚴重安全缺陷已在野外積極利用了將近一年，網絡安全研究人員將這項運動歸因於中國國家贊助的黑客黑客組。

擁有VMware的公司Broadcom已發布了該錯誤的補丁，該補丁被跟踪為CVE-2025-41244，一種影響VMware ARIA操作的服務探索管理包（SDMP）和VMware工具（Open-VM-Tools）的本地特權升級（LPE）。

缺陷（CVSS分數：7.8）允許在虛擬機（VM）內部訪問有限的攻擊者獲得完整的管理員（root）特權。進入室內後，黑客完全控制VM來運行惡意代碼，竊取數據或安裝後門以保持長期訪問。

自2024年10月以來被利用 

網絡安全公司NVISO聲稱，它發現了證據表明，零日脆弱性是在2024年10月中旬開始在野外利用的。襲擊歸因於UNC5174，這是一個與中國有聯繫的集團，Google的Mandiant認為是該國國家安全部的承包商。

UNC5174有利用新發現的軟件漏洞的歷史。過去，它們與針對東南亞，美國和英國的研究和教育機構，企業，慈善機構，非政府組織和政府組織有關。

利用如何工作

該問題的核心是VMware的服務發現功能，該功能掃描VM，以查看正在運行哪些程序。這些掃描使用廣泛的模式匹配來查找研究人員發現的程序名稱，這些程序名稱可能會被欺騙到為合法的程序誤認為惡意程序。

攻擊者需要做的就是將假程序放在臨時文件夾中，例如，將其掩蓋為 /tmp /httpd（一個常見的Web服務器二進制名稱）。當VMware掃描儀運行時，它可能會認為假程序是真實的服務，並在不知不覺中以提高特權執行攻擊者的代碼。這就是全部控制所需的一切。

NVISO研究員Maxime Thiebaut說：“聽起來很簡單，您將其命名，VMware提升了它。”報告2025年5月，Broadcom的缺陷。

受影響的版本

The versions that are affected by the CVE-2025-41244 vulnerability are: VMware Cloud Foundation 4.x and 5.x, VMware Cloud Foundation 9.xxx, VMware Cloud Foundation 13.xxx (Windows, Linux), VMware vSphere Foundation 9.xxx, VMware vSphere Foundation 13.xxx (Windows, Linux), VMware Aria Operations 8.x, VMware Tools 11.xx, 12.xx和13.xx（Windows，linux），VMware電信雲平台4.x和5.x，以及VMware電信電信雲基礎結構2.x和3.x。

參見：中國黑客在少校網絡攻擊中違反美國國民警衛隊

這對組織意味著什麼 

由於這是本地升級特權漏洞，因此攻擊者首先需要在虛擬機上立足。但是，一旦進入室內，該錯誤就可以輕鬆獲得根訪問。

NVISO警告說，不僅與中國有聯繫的團體UNC5174，而且其他惡意軟件可能多年來可能利用了這種弱點。該公司甚至發布了概念驗證（POC）的利用，以證明攻擊者能夠迅速獲得根源訪問。

Broadcom的回應

 Broadcom現在已經修補了多個VMware產品的缺陷，包括：

• VMware工具（Windows＆Linux）
• VMware ARIA操作8.x
• VMware Cloud Foundation版本4.x至13.x
• VMware電信雲平台和基礎架構

建議

為了保持保護，組織應立即應用Broadcom的補丁程序，密切監視系統，以適用於VMware Services啟動的不尋常兒童流程。還建議安全團隊硬化臨時目錄，例如將寫入限制為 /TMP，並限製網絡和用戶對來賓VM的訪問，從而減少了攻擊者獲得初始立足的機會。

為什麼重要

VMware缺陷強調了即使是小型監督如何成為攻擊者的強大工具。有了已經確認的主動利用，快速修補，系統監控和限制攻擊者的入口點對於確保虛擬環境安全至關重要。