Un bug critico in VMware Aria Operations e VMware Tools utilizzato da mesi dagli hacker cinesi

Redazione RHC : 1 Ottobre 2025 15:54

Broadcom ha risolto una grave vulnerabilità di escalation dei privilegi in VMware Aria Operations e VMware Tools, che era stata sfruttata in attacchi a partire da ottobre 2024. Al problema è stato assegnato l’identificativo CVE-2025-41244. Sebbene l’azienda non abbia segnalato alcun exploit nel bollettino ufficiale, il ricercatore di NVISO Maxime Thibault lo ha segnalato a maggio che gli attacchi sono iniziati a metà ottobre 2024. L’analisi ha collegato gli attacchi al gruppo cinese UNC5174.

La vulnerabilità consente a un utente locale senza privilegi di inserire un file binario dannoso in directory che corrispondono a espressioni regolari generiche. Una variante osservata in attacchi reali è l’utilizzo della directory /tmp/httpd. Affinché il malware venga rilevato dal servizio VMware, è necessario eseguirlo come utente normale e aprire un socket di rete casuale.

Di conseguenza, gli aggressori ottengono la possibilità di aumentare i privilegi di root ed eseguire codice arbitrario all’interno della macchina virtuale. NVISO ha anche pubblicato un exploit dimostrativo che mostra come questa falla venga utilizzata per compromettere VMware Aria Operations in modalità con credenziali e VMware Tools in modalità senza credenziali.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo Google Mandiant, UNC5174 opera per conto del Ministero della Sicurezza di Stato cinese. Nel 2023, il gruppo ha venduto l’accesso alle reti di appaltatori della difesa statunitensi, agenzie governative britanniche e organizzazioni asiatiche sfruttando la vulnerabilità CVE-2023-46747 in F5 BIG-IP.

Nel febbraio 2024, hanno sfruttato la vulnerabilità CVE-2024-1709 in ConnectWise ScreenConnect, attaccando centinaia di istituzioni negli Stati Uniti e in Canada.

Nella primavera del 2025, il gruppo è stato osservato anche mentre sfruttava la vulnerabilità CVE-2025-31324 , un errore di caricamento file in NetWeaver Visual Composer che consentiva l’esecuzione di codice arbitrario. Anche altri gruppi cinesi hanno partecipato ad attacchi ai sistemi SAP, tra cui Chaya_004, UNC5221 e CL-STA-0048, che hanno installato backdoor su oltre 580 istanze NetWeaver, comprese quelle in infrastrutture critiche negli Stati Uniti e nel Regno Unito.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli