VMware LPE zero day zakrpan

Sadržaj
‍
Otkrivena je i zakrpana zero-day ranjivost CVE-2025-41244 koja omogućuje lokalnu eskalaciju privilegija (LPE) na sustavima s VMware Tools i/ili VMware Aria Operations. Propust je iskorištavan u ciljanim napadima još od jeseni 2024., a ispravci su objavljeni za podržane verzije proizvoda.

Detalji
‍
CVE-2025-41244 vezan je uz mehanizam Service Discovery koji Aria Operations (kroz SDMP) i VMware Tools koriste za prepoznavanje servisa unutar gosta. U sklopu tog otkrivanja pozivaju se procedure za “verzioniranje” procesa (npr. web-poslužitelja poput httpd, nginx).

Zbog preširokih regularnih izraza pri prepoznavanju binarija (npr. korištenje klase \S) moguće je da sustav, pod povišenim ovlastima, umjesto legitimne binarne datoteke izvrši zlonamjernu zamjenu smještenu u upisive putanje (tipično /tmp/httpd). Time neprivilegirani lokalni korisnik može natjerati servis discovery da pokrene njegovu binarnu datoteku kao root, što završava potpunom eskalacijom ovlasti na virtualnom stroju.
‍
Vektor je izvediv kada je SDMP omogućen i/ili kada su VMware Tools instalirani i integrirani s Aria Operationsom. U praksi se viđaju scenariji u kojima napadač najprije postavi “lažni” binarij u /tmp, zatim potakne ciklus otkrivanja servisa (ručno ili kroz uobičajenu telemetriju), nakon čega se zlonamjerna datoteka učitava i izvršava s administrativnim privilegijama.

Pogođeni su VMware Tools 11/12/13 (Linux/Windows, uključivo open-vm-tools kroz repozitorije distribucija) te Aria Operations 8.x i pripadajući foundation paketi. Zakrpe su izdane i dostupne kroz standardne kanale; za open-vm-tools nadogradnje dolaze od Linux distribucija. U novijim izdanjima su pooštreni uzorci prepoznavanja i onemogućeno pozivanje binarija iz nesigurnih, upisivih putanja tijekom verzioniranja servisa.
‍
Preporuka
‍
• Odmah nadograditi: primijeniti najnovije verzije Aria Operations i VMware Tools (odnosno open-vm-tools iz repozitorija vaše distribucije).
• Privremeno ublažavanje (ako patch mora pričekati): onemogućiti ili ograničiti SDMP discovery, blokirati izvršavanje iz upisivih direktorija (npr. /tmp) pomoću AppArmor/SELinux politika, noexec mount opcija gdje je primjenjivo, nadzirati i brisati sumnjive binarne datoteke tipa /tmp/httpd.
• Detekcija/forenzika: pretražiti logove Aria/Tools za neobična “version check” pokretanja; u EDR-u loviti procese koji se pokreću iz /tmp ili drugih upisivih putanja pod rootom; provjeriti nedavne izmjene i nova izvršna prava u tim direktorijima.
• Upravljanje površinom napada: ograničiti tko i kako može inicirati cikluse otkrivanja servisa; segmentirati administrativni pristup prema Aria/Tools komponentama; rotirati vjerodajnice ako postoji sumnja na kompromitaciju.

‍
Reference
‍
• https://thehackernews.com/2025/09/urgent-china-linked-hackers-exploit-new.html
• https://blog.nviso.eu/
• https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/tools/11-1-0/vmware-tools-administration-11-1-0/configuring-vmware-tools-components/using-vmware-tools-configuration-utility/configure-service-discovery.html

‍