Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) dodała do swojego katalogu lukę w oprogramowaniu VMware Tools i Aria, która od co najmniej roku jest aktywnie wykorzystywana przez grupę hakerską UNC5174, powiązaną z chińskim wywiadem. Podatność, oznaczona jako CVE-2025-41244, umożliwia eskalację uprawnień i przejęcie kontroli nad systemem.
Broadcom, obecny właściciel VMware, poinformował o luce pod koniec września 2025 roku, jednak według badaczy z firmy NVISO była ona wykorzystywana jako zero-day już od października 2024 roku. Zagrożenie dotyczy systemu VMware Tools, które zapewnia integrację między maszyną wirtualną a hostem, oraz VMware Aria (dawniej vRealize Operations), służącego do zarządzania i monitorowania środowisk wirtualnych. Luka pozwala atakującemu, który ma już dostęp do systemu (nawet z niskimi uprawnieniami), na uzyskanie pełnej kontroli na poziomie administratora.
Problem tkwi w mechanizmie, dzięki którego VMware Aria zbiera dane z maszyn wirtualnych. W trybie “credential-less” (bez poświadczeń), narzędzie wykorzystuje uprawnienia VMware Tools do automatycznego pobierania informacji. To właśnie ta metoda komunikacji okazała się podatna na manipulację, otwierając drogę do eskalacji uprawnień. Grupa UNC5174, której przypisuje się ataki, jest znana z działań szpiegowskich wymierzonych w instytucje rządowe, wojskowe i technologiczne w USA, Europie i Azji.
Wpisanie luki CVE-2025-41244 na listę Known Exploited Vulnerabilities (KEV) przez CISA oznacza, iż amerykańskie agencje federalne mają obowiązek załatania swoich systemów w wyznaczonym terminie. Dla pozostałych firm i instytucji jest to sygnał, iż podatność stanowi realne i aktywne zagrożenie. Administratorzy powinni jak najszybciej zainstalować poprawki udostępnione przez Broadcom, aby zabezpieczyć swoje środowiska wirtualne przed atakami.
