CISA has raised alarm over active exploitation of a critical privilege escalation vulnerability affecting Broadcom's VMware Tools and VMware Aria Operations.

CISA warns of VMware zero-day exploited by China-linked hackers before Broadcom patch.

2025年9月のアップデートで修正された「VMware Tools」および「Aria Operations」に関する既知の脆弱性が、悪用されている可能性があることがわかった。 ：Security NEXT

CISA adds VMware zero-day CVE-2025-41244 to its KEV catalog. The LPE flaw, exploited by a China-linked actor, allows root access on virtual machines. Patch now.

（画像クレジット：Shutterstock） CISAはCVE-2025-41244をKEVに追加し、11月20日までのパッチ適用を義務付け このバグは、SDMPが有効なVMware Toolsを通じてローカル権限昇格を可能にする 中国のグループUNC5174が、西側およびアジアの機関を標的にスパイ活動のために悪用 米国サイバーセキュリティ・インフラストラクチャ安全局（CISA）は、新たなBroadcomのバグを既知の悪用脆弱性（KEV）カタログに追加し、連邦民間行政機関（FCEB）に対して実際の悪用について警告しています。 問題のバグは、VMware Aria OperationsおよびVMWare Toolsに影響するローカル権限昇格の脆弱性です。NVDによると、管理者権限を持たない悪意のあるローカルユーザーが、SDMPが有効なAria Operationsで管理されているVMにインストールされたVMWare Toolsにアクセスできる場合、同じVM上でroot権限に昇格することが可能です。 このバグはCVE-2025-41244として追跡されており、深刻度スコアは7.8/10（高）と評価されています。Windows 32ビット向けの修正を探している場合は、VMWare Tools 12.5.4の一部であるVMWare Tools 12.4.9を入手してください。Linuxの場合は、各Linuxベンダーから配布されるopen-vm-toolsのバージョンがあります。 中国の攻撃者 CISAはこれをKEVに追加することで、FCEB機関に対し、パッチ（約1か月前に公開済み）を3週間以内に適用するか、脆弱な製品の使用を完全に停止するよう期限を設けました。締切は11月20日です。 同時に、セキュリティ研究者らは、このバグが中国の国家支援犯罪者によって約1年前から利用されていたと述べています。実際、NVISOはUNC5174として追跡されているグループが2024年10月中旬以降これを利用しており、どのように悪用できるかを示す概念実証（POC）コードも公開したとBleepingComputerが報じています。 Google Mandiantによると、UNC5174は中国国家安全省（MSS）に雇われ、米国防衛請負業者、英国政府機関、さまざまなアジアの機関へのアクセスを得るために活動していました。 2024年末、中国の国家支援型脅威アクターは、Ivanti Cloud Services Appliance（CSA）デバイスの複数のゼロデイ脆弱性を悪用し、フランス政府機関や、通信、金融、運輸などの多数の民間企業にアクセスしました。これらの攻撃はHoukenというグループによるものとされ、研究者らはUNC5174と多くの類似点があると指摘しています。 出典： BleepingComputer GoogleニュースでTechRadarをフォロー、さらに お気に入りの情報源に追加して、専門ニュース、レビュー、意見をフィードで受け取りましょう。フォローボタンをクリックするのをお忘れなく！ もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、開封動画などを動画でチェックし、WhatsAppでも定期的な最新情報を受け取れます。 翻訳元:

A New 0-Day Sparks Urgency Across the Cybersecurity Landscape The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has issued a critical alert over a new zero-day vulnerability, CVE-2025-41244, targeting Broadcom’s VMware Tools and VMware Aria Operations. The flaw, already being actively exploited in the wild, could allow attackers to gain root-level access to virtual machines — effectively taking full control of compromised systems.

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は木曜日、Broadcom VMware ToolsおよびVMware Aria Operationsに影響を与える重大なセキュリティ脆弱性を、既知の悪用脆弱性（KEV）カタログに追加しました。これは、実際に悪用が報告されたことを受けたものです。 問題となっている脆弱性はCVE-2025-41244（CVSSスコア：7.8）であり、攻撃者が脆弱なシステムでroot権限を取得できる可能性があります。 「Broadcom VMware Aria OperationsおよびVMware Toolsには、安全でない操作による権限定義の脆弱性が含まれています」とCISAは警告しています。「Aria OperationsでSDMPが有効化されているVMにインストールされ、管理されているVMware Toolsにアクセス可能な非管理者権限の悪意あるローカルアクターは、この脆弱性を悪用して同じVM上でroot権限に昇格する可能性があります。」 この脆弱性はBroadcom傘下のVMwareによって先月修正されましたが、NVISO Labsによると、2024年10月中旬以降、未知の脅威アクターによってゼロデイとして悪用されていました。サイバーセキュリティ企業は、今年5月のインシデント対応の際にこの脆弱性を発見したと述べています。 この活動は、中国関連の脅威アクターUNC5174（Google Mandiantが追跡）によるものとされています。NVISO Labsは、この脆弱性が悪用が容易であると説明しています。CVE-2025-41244の武器化後に実行された正確なペイロードの詳細は現在公開されていません。 「ローカル権限昇格の悪用が成功すると、特権のないユーザーが特権コンテキスト（例：root）でコード実行を達成できます」とセキュリティ研究者のMaxime Thiebaut氏は述べています。「しかし、このエクスプロイトがUNC5174の能力の一部だったのか、それともその容易さゆえに偶発的にゼロデイが使われたのかは評価できません。」 また、KEVカタログにはXWikiの重大なevalインジェクション脆弱性も追加されており、任意のゲストユーザーが「/bin/get/Main/SolrSearch」エンドポイントへの特別に細工されたリクエストを通じて、任意のリモートコード実行を行うことが可能です。今週初め、VulnCheckは、未知の脅威アクターがこの脆弱性を悪用して暗号通貨マイナーを配布しようとした試みを明らかにしました。 連邦民間行政機関（FCEB）は、2025年11月20日までに必要な緩和策を適用し、ネットワークを現行の脅威から保護することが求められています。 翻訳元:

CISA has added two new vulnerabilities to its KEV Catalog, based on evidence of active exploitation.

CISA has ordered federal agencies to patch a high-severity vulnerability in Broadcom's VMware Aria Operations and VMware Tools software, exploited by Chinese hackers since October 2024.

木曜日、CISAは米国政府機関に対し、BroadcomのVMware Aria OperationsおよびVMware Toolsソフトウェアの重大な脆弱性を悪用した攻撃からシステムを保護するよう警告しました。 CVE-2025-41244として追跡され、1か月前に修正されたこの脆弱性は、VMware Toolsがインストールされ、SDMPが有効なAria Operationsで管理されている仮想マシン（VM）上で、管理者権限を持たないローカル攻撃者が同じVM上でroot権限に昇格できるものです。 CISAはこの脆弱性を既知の悪用済み脆弱性カタログに追加しました。このカタログには、サイバーセキュリティ機関が実際に悪用されていると判断したセキュリティバグが掲載されています。連邦民間行政機関（FCEB）は、2021年11月に発行された拘束力のある運用指令（BOD）22-01により、進行中の攻撃に対抗するため、11月20日までの3週間以内にシステムを修正する必要があります。 FCEB機関とは、米国行政機関内の非軍事機関であり、国土安全保障省、エネルギー省、財務省、保健福祉省などが含まれます。 BOD 22-01は連邦機関のみに適用されますが、CISAはすべての組織に対し、この脆弱性の修正をできるだけ早く優先するよう呼びかけています。 「この種の脆弱性は、悪意あるサイバー攻撃者による攻撃ベクトルとして頻繁に利用され、連邦組織に重大なリスクをもたらします」とCISAは警告しています。「ベンダーの指示に従って緩和策を適用し、クラウドサービスに関する該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。」 昨年10月から攻撃で悪用 BroadcomはCVE-2025-41244が現在実際に悪用されていると警告しています。これは、欧州のサイバーセキュリティ企業NVISOのMaxime Thiebaut氏が、中国国家支援の脅威グループUNC5174が2024年10月中旬以降この脆弱性を攻撃に悪用していると報告してから1か月後のことです。 当時、Thiebaut氏はCVE-2025-41244を悪用して、脆弱なVMware Aria Operations（認証ベースモード）およびVMware Tools（認証不要モード）を実行するシステムで権限昇格を実現し、最終的に攻撃者がVM上でrootレベルのコード実行を可能にする概念実証コードも公開しました。 Google Mandiantのセキュリティアナリストは、UNC5174を中国国家安全省（MSS）の請負業者と特定し、この脅威グループが2023年末、F5 BIG-IPのリモートコード実行脆弱性（CVE-2023-46747）を悪用した攻撃の後、米国防衛請負業者、英国政府機関、アジアの機関のネットワークへのアクセスを販売していたことを観測しました。 2024年2月、UNC5174はConnectWise ScreenConnectの脆弱性（CVE-2024-1709）も悪用し、米国およびカナダの数百の機関に侵入、さらに5月にはNetWeaverの認証不要ファイルアップロード脆弱性（CVE-2025-31324）を悪用した攻撃にも関与し、未修正のNetWeaver Visual Composerサーバーでリモートコード実行を可能にしていました。 今年初めから、BroadcomはMicrosoft Threat Intelligence Centerによって報告された他の3つの積極的に悪用されたVMwareゼロデイ脆弱性（CVE-2025-22224、CVE-2025-22225、CVE-2025-22226）を修正し、米国家安全保障局（NSA）によって報告された2つの深刻なVMware NSX脆弱性（CVE-2025-41251およびCVE-2025-41252）に対応するセキュリティパッチもリリースしています。 翻訳元:

Origin

A seemingly benign privilege-escalation process in VMware and other software has likely benefited attackers and other malware strains for years.