Την Πέμπτη, η CISA προειδοποίησε τις κυβερνητικές υπηρεσίες των ΗΠΑ να ασφαλίσουν τα συστήματά τους από επιθέσεις που εκμεταλλεύονται μια ευπάθεια υψηλής σοβαρότητας στο λογισμικό VMware Aria Operations και VMware Tools της Broadcom.
Παρακολούθηση ως CVE-2025-41244 και διορθώθηκε πριν από ένα μήνα, αυτή η ευπάθεια επιτρέπει σε τοπικούς εισβολείς με μη διαχειριστικά δικαιώματα σε μια εικονική μηχανή (VM) με Εργαλεία VMware και τη διαχείριση της οποίας η Aria Operations με ενεργοποιημένη την SDMP, να κλιμακώνουν τα δικαιώματα για root στο ίδιο VM.
CISA προστέθηκε το ελάττωμά του Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειώντο οποίο απαριθμεί σφάλματα ασφαλείας που η υπηρεσία κυβερνοασφάλειας έχει επισημάνει ως εκμεταλλευόμενη στη φύση. Οι υπηρεσίες του Federal Civilian Executive Branch (FCEB) έχουν πλέον τρεις εβδομάδες, έως τις 20 Νοεμβρίου, για να επιδιορθώσουν τα συστήματά τους έναντι συνεχιζόμενων επιθέσεων, όπως ορίζεται από τη δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01 που εκδόθηκε τον Νοέμβριο του 2021.
Οι υπηρεσίες FCEB είναι μη στρατιωτικές υπηρεσίες εντός της εκτελεστικής εξουσίας των ΗΠΑ, συμπεριλαμβανομένων του Υπουργείου Εσωτερικής Ασφάλειας, του Υπουργείου Ενέργειας, του Υπουργείου Οικονομικών και του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών.
Ενώ το BOD 22-01 ισχύει μόνο για ομοσπονδιακούς οργανισμούς, η CISA προέτρεψε όλους τους οργανισμούς να δώσουν προτεραιότητα στην επιδιόρθωση αυτής της ευπάθειας το συντομότερο δυνατό.
«Αυτοί οι τύποι τρωτών σημείων αποτελούν συχνούς φορείς επιθέσεων για κακόβουλους κυβερνοχώρους και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση», προειδοποίησε η CISA. “Εφαρμόστε μέτρα μετριασμού ανά οδηγό προμηθευτή, ακολουθήστε τις ισχύουσες οδηγίες BOD 22-01 για υπηρεσίες cloud ή διακόψτε τη χρήση του προϊόντος εάν δεν υπάρχουν διαθέσιμα μέτρα αντιμετώπισης.”
Αξιοποιήθηκε σε επιθέσεις από τον περασμένο Οκτώβριο
Η Broadcom έχει επισημάνει το CVE-2025-41244 ως αντικείμενο εκμετάλλευσης στην άγρια φύση σήμερα, ένα μήνα αφότου ο Maxime Thiebaut της ευρωπαϊκής εταιρείας κυβερνοασφάλειας NVISO ανέφερε ότι ο κινεζικός φορέας απειλών UNC5174 το χρησιμοποιούσε σε επιθέσεις από τα μέσα Οκτωβρίου 2024.
Εκείνη την εποχή, ο Thiebaut κυκλοφόρησε επίσης κώδικα απόδειξης ιδέας που δείχνει πώς μπορεί να γίνει εκμετάλλευση του CVE-2025-41244 για την κλιμάκωση των προνομίων σε συστήματα που εκτελούν ευάλωτα VMware Aria Operations (σε λειτουργία βασισμένη σε διαπιστευτήρια) και Εργαλεία VMware (σε λειτουργία χωρίς διαπιστευτήρια), οι επιτιθέμενοι τελικά επιτρέπουν στους επιτιθέμενους να αποκτήσουν root-exe.
Οι αναλυτές ασφαλείας του Google Mandiant, οι οποίοι έχουν επισημάνει το UNC5174 ως ανάδοχο του Υπουργείου Κρατικής Ασφάλειας της Κίνας (MSS), παρατήρησαν τον παράγοντα απειλής πώλησης πρόσβασης σε δίκτυα αμυντικών εργολάβων των ΗΠΑκυβερνητικές οντότητες του ΗΒ και ασιατικά ιδρύματα στα τέλη του 2023, μετά από επιθέσεις που εκμεταλλεύονταν μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα F5 BIG-IP (CVE-2023-46747).
Τον Φεβρουάριο του 2024, το UNC5174 εκμεταλλεύτηκε επίσης α Ελάττωμα ConnectWise ScreenConnect (CVE-2024-1709) για να παραβιάσει εκατοντάδες ιδρύματα των ΗΠΑ και του Καναδά και συνδέθηκε τον Μάιο με επιθέσεις που καταχρώνται ένα ελάττωμα μεταφόρτωσης αρχείων χωρίς έλεγχο ταυτότητας του NetWeaver (CVE-2025-31324) που επιτρέπει στους εισβολείς να αποκτούν απομακρυσμένη εκτέλεση κώδικα σε μη επιδιορθωμένους διακομιστές NetWeaversual.
Από την αρχή του έτους, η Broadcom έχει επιδιορθώσει τρία άλλα ενεργά εκμεταλλευόμενα σφάλματα VMware zero-day (CVE-2025-22224, CVE-2025-22225 και CVE-2025-22226) που αναφέρθηκαν από το Microsoft Threat Intelligence Center και κυκλοφόρησε ενημερωμένες εκδόσεις κώδικα ασφαλείας για την αντιμετώπιση δύο ενημερωμένων εκδόσεων λογισμικού υψηλής ποιότητας Vvulner NSXever (CVE-2025-41251 και CVE-2025-41252) που αναφέρθηκαν από την Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA).
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
