Broadcom telah merilis patch untuk kerentanan eskalasi hak istimewa pada VMware Aria Operations dan VMware Tools (CVE-2025-41244), yang ternyata sudah dieksploitasi sejak Oktober 2024 oleh kelompok peretas negara-bangsa asal Tiongkok, UNC5174.
Detail Kerentanan
Menurut peneliti NVISO, Maxime Thiebaut, bug ini memungkinkan penyerang lokal tanpa hak istimewa untuk menempatkan binary berbahaya di jalur tertentu agar terdeteksi oleh layanan VMware. Binary ini kemudian dijalankan oleh pengguna biasa dan membuka socket acak agar diambil oleh proses discovery VMware.
- Target terdampak: VMware Aria Operations (credential-based mode) dan VMware Tools (credential-less mode)
- Dampak: eskalasi hak istimewa hingga root pada VM yang rentan.
- Lokasi umum eksploitasi:
/tmp/httpd
NVISO juga merilis proof-of-concept exploit yang menunjukkan bagaimana bug ini bisa dimanfaatkan untuk memperoleh eksekusi kode tingkat root.
Atribusi ke UNC5174
Menurut Google Mandiant, UNC5174 diyakini sebagai kontraktor Kementerian Keamanan Negara (MSS) Tiongkok. Grup ini memiliki rekam jejak:
- Menjual akses ke jaringan kontraktor pertahanan AS, entitas pemerintah Inggris, dan lembaga di Asia (2023).
- Mengeksploitasi bug F5 BIG-IP (CVE-2023-46747) dan ConnectWise ScreenConnect (CVE-2024-1709) pada 2024.
- Terlibat dalam eksploitasi CVE-2025-31324 untuk akses RCE di SAP NetWeaver Visual Composer awal 2025.
- Bekerja sama dengan grup Tiongkok lain (UNC5221, Chaya_004, CL-STA-0048) untuk membackdoor 580+ instance SAP NetWeaver, termasuk infrastruktur kritis di AS dan Inggris.
Latar Belakang VMware Dieksploitasi
- Maret 2025: Broadcom menambal tiga zero-day VMware lain (CVE-2025-22224/25/26) yang dilaporkan oleh Microsoft Threat Intelligence.
- September 2025: Broadcom juga menambal dua bug serius pada VMware NSX (CVE-2025-41251 & CVE-2025-41252) yang dilaporkan oleh NSA.
Dampak
Karena VMware banyak digunakan di enterprise untuk mengelola data sensitif, eksploitasi zero-day ini berpotensi memberikan jalan masuk ke sistem virtualisasi skala besar, termasuk di sektor pertahanan, pemerintahan, dan infrastruktur kritis.