VMware es una de las plataformas de virtualización más populares en el mundo. Ofrece una variedad de productos y tecnologías. En este artículo, abordaremos una vulnerabilidad crítica que, si es aprovechada, podría permitir a un atacante ejecutar código con privilegios elevados. Esto podría poner en grave riesgo la seguridad del sistema, por lo que es crucial actualizar a la brevedad.
La vulnerabilidad fue anunciada por Broadcom el 29 de septiembre. Está identificada como CVE-2025-41244. Afecta a las funciones para la detección de servicios en máquinas virtuales de VMware. Según NVISO, se ha evidenciado su explotación en entornos reales desde mediados de octubre de 2024, y han determinado que el grupo responsable de esta escalada de privilegios es UNC5174.
Detalles de la vulnerabilidad en VMware
Es importante destacar que esta vulnerabilidad impacta tanto a VMware Tools como a VMware Aria Operations. En ambas plataformas, permite a un usuario sin privilegios ejecutar código con permisos elevados. UNC5174 es un grupo de ciberdelincuentes apoyados por el gobierno chino, que ha sido relacionado con operaciones de acceso inicial a través de la explotación de vulnerabilidades conocidas.
En cuanto a VMware Aria, se trata de una suite utilizada para gestionar cargas de trabajo en la nube híbrida desde una única interfaz, muy utilizada por diversas organizaciones. En su investigación, NVISO confirmó que la vulnerabilidad que permite la escalada de privilegios afecta a VMware Aria Operations (en modo de autenticación) y a VMware Tools (en modo sin autenticación).
Un atacante podría explotar esta vulnerabilidad, sin requerir privilegios previos, a nivel local. Esto se puede lograr al colocar un archivo binario malicioso en cualquier ruta que coincida con la expresión regular correspondiente. Por ejemplo, una ruta común es /tmp/httpd, que utiliza el grupo UNC5174. Para que el sistema de detección de servicios de VMware identifique el archivo binario malicioso, este debe ejecutarse con los permisos de un usuario sin privilegios y abrir al menos un socket de escucha.
En el comunicado de NVISO, se presentó una prueba de concepto CVE-2025-41244.go. La demostración mostró que, una vez compilado en una ruta adecuada (por ejemplo, go build -o /tmp/httpd CVE-2025-41244.go) y ejecutado, este código de prueba iniciará una sesión de shell con privilegios de administrador al ejecutarse la recopilación de métricas de VMware. Este proceso, al menos en modo sin credenciales, está documentado para ejecutarse cada 5 minutos.
Actualizar de inmediato
Esta vulnerabilidad ha recibido una puntuación de 7.8 sobre 10 en la escala CVSS, lo que la clasifica como de alta gravedad. Por lo tanto, es vital aplicar las actualizaciones pertinentes a la brevedad. Esto no solo te ayudará a prevenir ataques, sino también a asegurar un funcionamiento eficiente.
Para VMware Aria Operations, es necesario tener la versión 8.18.5, que soluciona el problema. En el caso de VMware Tools, debes contar con la versión 13.0.5. Puedes encontrar toda la información y descargas en las notas de lanzamiento oficiales para VMware Aria Operations 8.18.5 (VMSA-2025-0025) y para VMware Tools 13.0.5.
Es recomendable aplicar estas actualizaciones a cualquier sistema o aplicación que utilices en tu rutina diaria. Corregir las vulnerabilidades es esencial para reducir el riesgo de problemas que puedan afectar tu privacidad o seguridad. Hace unos meses, también se reportó otra vulnerabilidad que impactó a VMware para Windows.
