Luka bezpieczeństwa aktywnie wykorzystywana od roku

29 września 2025 r. firma Broadcom poinformowała o poważnej luce bezpieczeństwa (CVE-2025-41244) w oprogramowaniu VMware Tools i VMware Aria. Umożliwia ona osobie mającej dostęp do systemu uzyskanie większych uprawnień, niż powinna mieć (tzw. eskalacja uprawnień).

Eksperci z firmy NVISO odkryli, że luka była wykorzystywana w rzeczywistych atakach już od października 2024 roku, zanim została oficjalnie ujawniona (czyli była tzw. „zero-day”). Za atakami stoi grupa UNC5174, powiązana z chińskim wywiadem. Grupa ta prowadzi działania m.in. przeciwko instytucjom rządowym, wojsku oraz firmom technologicznym w USA, Europie i Azji.

Co to za oprogramowanie?

• VMware Tools – działa wewnątrz maszyn wirtualnych i pomaga im lepiej współpracować z serwerem VMware.
• VMware Aria – to zestaw narzędzi do monitorowania i zarządzania środowiskami wirtualnymi, chmurowymi i hybrydowymi.

Jak działa zagrożony mechanizm:

VMware Aria może działać w dwóch trybach:

• Credential-less (bez danych logowania) – zbiera informacje o działaniu maszyn wirtualnych automatycznie, korzystając z uprawnień VMware Tools.
• Credential-based (z danymi logowania) – zbiera dane za pomocą skryptów uruchamianych przez administratora w systemie wirtualnym.

Właśnie w tym mechanizmie znaleziono lukę, która pozwalała atakującym uzyskać nieautoryzowany dostęp i przejąć większą kontrolę nad systemem.

Informacja w ślad za portalem Sekurak.pl