CVE-2025-41244: Zero-day crítico en VMware Aria Operations y Tools
Admin
October 3, 2025
Translate to:
Severidad: Alta (CVSS 7.8)
Fecha de descubrimiento: Parche publicado el 29 de septiembre de 2025
Estado: Explotación activa durante casi un año por el grupo UNC5174 (China); parche disponible en plataformas VMware y Broadcom Cloud Foundation.
Productos afectados: VMware Aria Operations Service Discovery, VMware Tools (open-vm-tools), VMware Cloud Foundation, vSphere Foundation, Telco Cloud.
Fecha de descubrimiento: Parche publicado el 29 de septiembre de 2025
Estado: Explotación activa durante casi un año por el grupo UNC5174 (China); parche disponible en plataformas VMware y Broadcom Cloud Foundation.
Productos afectados: VMware Aria Operations Service Discovery, VMware Tools (open-vm-tools), VMware Cloud Foundation, vSphere Foundation, Telco Cloud.
Descripción técnica
- La vulnerabilidad reside en el script
get-versions.shde VMware Aria Operations y open-vm-tools. - El error surge por expresiones regulares demasiado amplias que permiten a un usuario local sin privilegio crear binarios maliciosos en rutas como
/tmp/httpd, que luego son ejecutados automáticamente con privilegios root por el proceso de métricas de VMware. - Este comportamiento corresponde a la categoría CWE-426 (Untrusted Search Path). Implica que cualquier usuario dentro de la máquina virtual puede escalar a root fácilmente si accede a los directorios donde el script busca binarios.
- La escalada puede ser provocada por métricas automáticas (credential-less mode) o por ejecución en modo legado (credential-based), ambos implicando ejecución periódica bajo contexto administrativo o privilegiado.
- Investigadores han confirmado la explotación real, observando shells raíz y procesos maliciosos hijos de
vmtoolsdoget-versions.sh.
Impacto
- El atacante logra control total (root) sobre la VM, permitiendo persistencia, movimiento lateral, exfiltración de credenciales y maniobras contra el cluster virtual.
- Afecta entornos híbridos (on-premises y cloud) que usen herramientas de gestión VMware y métricas automatizadas.
- El riesgo es especialmente grave en ambientes multiusuario y con acceso de terceros a los hosts.
Detección y mitigación
- Actualizar urgentemente a las versiones corregidas en los productos VMware y Broadcom afectados.
- Revisar procesos y logs que evidencien ejecución de binarios no estándar como
/tmp/httpdo rutas similares por parte devmtoolsd,get-versions.shoSDMP. - Eliminar scripts y procesos residuales en
/tmp/VMware-SDMP-Scripts-{UUID}si hay sospecha de actividad maliciosa. - Limitar o auditar el acceso de usuarios sin privilegio a rutas escriturables, endurecer control de acceso y monitorización interna en clusters virtuales.
- Ejemplo de PoC: un binario malicioso en
/tmp/httpdque simule el servicio es lanzado con-vpor el proceso privilegiado cada pocos minutos, generando un shell de root automáticamente.
Resumen técnico
| CVE | CVE-2025-41244 |
|---|---|
| Categoría | Escalada local de privilegios (LPE) – Untrusted Search Path |
| Impacto potencial | Root en VM, control total, persistencia, movimiento lateral |
| Vector | Binario malicioso en ruta escritable y proceso de métricas o gestión automática |
| Explotabilidad | Real, activa (“in the wild”) por grupos estatales desde octubre 2024 |
| Mitigación | Actualizar productos, monitorizar procesos hijos, restringir acceso a directorios temporales |
| Detectores forenses | Procesos inusuales derivados de vmtoolsd, scripts en /tmp/VMware-SDMP-Scripts |
Recomendación urgente:
Actualiza inmediatamente a los últimos parches publicados.
Audita rutas temporales y scripts automatizados en VM Linux.
Limita accesos innecesarios y monitorea regularmente procesos y logs internos en clusters gestionados con VMware.
Actualiza inmediatamente a los últimos parches publicados.
Audita rutas temporales y scripts automatizados en VM Linux.
Limita accesos innecesarios y monitorea regularmente procesos y logs internos en clusters gestionados con VMware.
Comments (0)
No comments yet. Be the first to comment!