Código HTML do Conteúdo
Post: Um bug crítico no VMware Aria Operations e no VMware Tools foi explorado por hackers chineses por meses. - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div data-element_type="widget" data-id="914a4f5" data-widget_type="shortcode.default">
<div>
<div>
<p><span><b><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Redazione RHC</a>:1 Outubro 2025 15:56</b></span></p>
<p>A Broadcom corrigiu uma vulnerabilidade grave de escalonamento de privilégios em <strong>Operações do VMware Aria e ferramentas VMware</strong> que foi explorado em ataques a partir de outubro de 2024. O problema recebeu o identificador <a href="https://www.redhotcyber.com/servizi/cve/?cve_id=CVE-2025-41244" target="_new _blank">CVE-2025-41244</a>. Embora a empresa não tenha relatado uma exploração no oficial <a href="https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36149#:~:text=Broadcom%20would%20like%20to%20thank%20Maxime%20Thiebaut%20(NVISO)%20for%20reporting%20this%20issue%20to%20us." target="_blank">boletim</a> , o pesquisador da NVISO Maxime Thibault <a href="https://blog.nviso.eu/2025/09/29/you-name-it-vmware-elevates-it-cve-2025-41244/" target="_blank">reportado</a> em maio, que os ataques começaram em meados de outubro de 2024. A análise ligou os ataques ao grupo chinês <strong>UNC5174</strong> .</p>
<p>A vulnerabilidade permite que um usuário local sem privilégios <em>injetar um binário malicioso em diretórios que correspondem a expressões regulares genéricas</em> . Uma variante observada em ataques do mundo real usa o diretório /tmp/httpd. Para que o malware seja detectado pelo serviço VMware, <strong>Ele deve ser executado como um usuário normal e abrir um soquete de rede aleatório.</strong></p>
<p>Como resultado, os invasores ganham a capacidade de <em>escalar privilégios de root e executar código arbitrário dentro da máquina virtual.</em> A NVISO também publicou uma exploração de demonstração mostrando como essa falha pode ser usada para comprometer o VMware Aria Operations no modo credenciado e o VMware Tools no modo não credenciado.</p>
<p>De acordo com o Google Mandiant, a UNC5174 opera em nome do Ministério da Segurança do Estado da China. Em 2023, o grupo vendeu acesso às redes de empreiteiros de defesa dos EUA, agências governamentais britânicas e organizações asiáticas, explorando o <a href="https://www.redhotcyber.com/servizi/cve/?cve_id=CVE-2023-46747" target="_new _blank">CVE-2023-46747</a> vulnerabilidade no F5 BIG-IP.</p>
<p>Em fevereiro de 2024, eles exploraram o <a href="https://www.redhotcyber.com/servizi/cve/?cve_id=CVE-2024-1709" target="_new _blank">CVE-2024-1709</a> vulnerabilidade em <strong>ConnectWise ScreenConnect,</strong> atacando centenas de instituições nos Estados Unidos e Canadá.</p>
<p>Na primavera de 2025, o grupo também foi observado explorando o <a href="https://www.redhotcyber.com/servizi/cve/?cve_id=CVE-2025-31324" target="_new _blank">CVE-2025-31324</a> vulnerabilidade, um erro de upload de arquivo em <strong>NetWeaver Visual Composer</strong> que permitia a execução de código arbitrário. Outros grupos chineses também participaram de ataques a sistemas SAP, incluindo Chaya_004, UNC5221 e CL-STA-0048, que instalaram backdoors em mais de 580 instâncias do NetWeaver, incluindo aquelas em infraestrutura crítica nos Estados Unidos e no Reino Unido.</p>
<div>
<div>
<div>
<div>
<p><b><span>Redação</span></b><br /><span>A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.</span></p>
<p><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Lista degli articoli</a></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div></div>