Hackers chineses exploram VMware de dia zero desde out/2024

09/10/2025 mindsecblog Notícias 0

Hackers chineses exploram VMware de dia zero desde out/2024.

A Broadcom corrigiu uma vulnerabilidade de escalonamento de privilégios de alta gravidade em seus softwares VMware Aria Operations e VMware Tools, que tem sido explorada em ataques de dia zero desde outubro de 2024.

Embora a gigante tecnológica americana não tenha marcado este bug de segurança (CVE-2025-41244) conforme explorado na natureza, agradeceu ao pesquisador de ameaças do NVISO, Maxime Thiebaut por relatar o bug em maio.

No entanto, ontem, a empresa europeia de segurança cibernética divulgou que essa vulnerabilidade foi explorada pela primeira vez em meados de outubro de 2024 e vinculou os ataques ao agente de ameaças patrocinado pelo Estado chinês UNC5174.

“Para abusar desta vulnerabilidade, um invasor local sem privilégios pode preparar um binário malicioso dentro de qualquer um dos caminhos de expressão regulares amplamente correspondentes. Um local comum simples, abusado na natureza pela UNC5174, é/tmp/httpd,” Thiebaut explicou.

“Para garantir que o binário malicioso seja detectado pela descoberta do serviço VMware, o binário deve ser executado pelo usuário sem privilégios (ou seja, aparecer na árvore de processos) e abrir pelo menos um soquete de escuta (aleatório).”

A NVISO também lançou uma exploração de prova de conceito que demonstra como invasores podem explorar a falha CVE-2025-41244 para aumentar privilégios em sistemas que executam softwares vulneráveis VMware Aria Operations (no modo baseado em credenciais) e VMware Tools (no modo sem credenciais), obtendo, por fim, execução de código em nível raiz na VM.

Um porta-voz da Broadcom não estava imediatamente disponível para comentar quando contatado pela BleepingComputer hoje cedo.

Quem é UNC5174?

Analistas de segurança do Google Mandiant, que acreditam que o UNC5174 é um contratante do Ministério da Segurança do Estado (MSS) da China, observaram o agente da ameaça vender acesso a redes de empreiteiros de defesa dos EUA, entidades governamentais do Reino Unido e instituições asiáticas no final de 2023, após ataques que exploraram a vulnerabilidade de execução remota de código F5 BIG-IP CVE-2023-46747.

Em fevereiro de 2024, também explorou o CVE-2024-1709 Tela ConnectWiseFalha de conexão violar centenas de instituições dos EUA e do Canadá.

No início deste ano, em maio, a UNC5174 também foi associada à vida selvagem exploração da falha de upload de arquivo não autenticado CVE-2025-31324 que permite que invasores obtenham execução remota de código em servidores NetWeaver Visual Composer vulneráveis.

Outros agentes de ameaças chineses (por exemplo, Chaya_004, UNC5221 e CL-STA-0048) também se juntaram a essa onda de ataques, fazendo backdoor em mais de 580 instâncias do SAP NetWeaver, incluindo infraestrutura crítica no Reino Unido e nos Estados Unidos.

Na segunda-feira, a Broadcom também corrigiu duas vulnerabilidades VMware NSX de alta gravidade relatado pelos EUA Agência de Segurança Nacional (NSA).

Em março, a empresa corrigiu três outros bugs de dia zero do VMware explorados ativamente (CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226) relatados pelo Microsoft Threat Intelligence Center.