Chinese cyberdreiging benutte jaar lang VMware-exploit

In dit artikel:

Broadcom heeft een patch uitgebracht voor CVE-2025-41244, een kwetsbaarheid in VMware Tools en VMware Aria Operations die sinds oktober vorig jaar al actief werd misbruikt. De fout maakte het mogelijk om privileges te escaleren en code op root‑niveau uit te voeren: VMware Tools kon tijdens het doorzoeken van binaries onbedoeld hogere rechten toekennen en daardoor ook niet‑beheerde binaries activeren.

Securitybedrijf Nviso identificeerde exploitatie door de door China gesteunde groep UNC5174, al is het onduidelijk of sommige gevallen opzettelijk misbruik of incidental gedrag van tooling betroffen. Eerdere analyses (onder meer door Sysdig) toonden dat UNC5174 technieken gebruikt om zich te verhullen met open‑source hulpmiddelen. Nviso noemt het gedrag van de VMware‑tools zorgwekkend, maar volgens analist Maxime Thiebaut is exploitatie “eenvoudig gedetecteerd”.

De kwetsbaarheid kreeg een CVSS‑score van 7,8 (hoog). Er is een patch beschikbaar; organisaties moeten die snel toepassen en zoeken naar signalen van laterale bewegingen of verdachte binaries, aangezien misbruik mogelijk al heeft plaatsgevonden.