Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Banner Ransomfeed 320x100 1
970x120
Un error crítico en VMware Aria Operations y VMware Tools ha sido explotado por piratas informáticos chinos durante meses.

Un error crítico en VMware Aria Operations y VMware Tools ha sido explotado por piratas informáticos chinos durante meses.

Redazione RHC : 1 octubre 2025 15:56

Broadcom ha corregido una grave vulnerabilidad de escalada de privilegios en VMware Aria Operations y VMware Tools , que se explotó en ataques que comenzaron en octubre de 2024. El problema se ha identificado con el identificador CVE-2025-41244. Si bien la compañía no reportó ninguna vulnerabilidad en el boletín oficial, el investigador de NVISO, Maxime Thibault, informó en mayo que los ataques comenzaron a mediados de octubre de 2024. El análisis vinculó los ataques al grupo chino UNC5174 .

La vulnerabilidad permite a un usuario local sin privilegios inyectar un binario malicioso en directorios que coinciden con expresiones regulares genéricas . Una variante observada en ataques reales utiliza el directorio /tmp/httpd. Para que el servicio VMware detecte el malware, debe ejecutarse como un usuario normal y abrir un socket de red aleatorio.

Como resultado, los atacantes pueden escalar privilegios de root y ejecutar código arbitrario dentro de la máquina virtual. NVISO también ha publicado un exploit de demostración que muestra cómo esta falla puede utilizarse para comprometer VMware Aria Operations en modo con credenciales y VMware Tools en modo sin credenciales.

Según Google Mandiant, UNC5174 opera en nombre del Ministerio de Seguridad del Estado de China. En 2023, el grupo vendió acceso a las redes de contratistas de defensa estadounidenses, agencias gubernamentales británicas y organizaciones asiáticas explotando la vulnerabilidad CVE-2023-46747 en F5 BIG-IP.

En febrero de 2024, explotaron la vulnerabilidad CVE-2024-1709 en ConnectWise ScreenConnect, atacando a cientos de instituciones en Estados Unidos y Canadá.

En la primavera de 2025, también se observó que el grupo explotaba la vulnerabilidad CVE-2025-31324, un error de carga de archivos en NetWeaver Visual Composer que permitía la ejecución de código arbitrario. Otros grupos chinos también han participado en ataques a sistemas SAP, como Chaya_004, UNC5221 y CL-STA-0048, que instalaron puertas traseras en más de 580 instancias de NetWeaver, incluidas las de infraestructuras críticas en Estados Unidos y el Reino Unido.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
Hackean la web de la FIA: datos personales de Max Verstappen y más de 7.000 pilotos expuestos
Di Redazione RHC - 24/10/2025

Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...

Immagine del sito
Inteligencia Artificial General (AGI): se ha definido el primer estándar global para medirla
Di Redazione RHC - 23/10/2025

El 21 de octubre de 2025, un equipo internacional de investigadores de 29 instituciones líderes, incluidas la Universidad de Stanford, el MIT y la Universidad de California en Berkeley, completó un ...

Immagine del sito
¡ChatGPT me da dinero! Atlas, el navegador inteligente para macOS, ya está aquí.
Di Redazione RHC - 22/10/2025

OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...

Immagine del sito
HackerHood de RHC revela dos nuevos días cero en productos Zyxel
Di Redazione RHC - 21/10/2025

El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...

Immagine del sito
Vulnerabilidad F5 BIG-IP: ¡266.000 dispositivos en riesgo en todo el mundo! 2.500 en Italia
Di Redazione RHC - 20/10/2025

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...