CISA cảnh báo lỗ hổng Zero-Day của VMware bị tin tặc khai thác tấn công chủ động

Starlink · T.Mười 31, 2025, 09:00:13 CHIỀU

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Broadcom VMware Tools và VMware Aria Operations vào danh mục Lỗ hổng khai thác đã biết ( KEV ), sau các báo cáo về hoạt động khai thác đang diễn ra trên thực tế.

Lỗ hổng bảo mật được đề cập là CVE-2025-41244 (điểm CVSS: 7,8), có thể bị kẻ tấn công khai thác để đạt được đặc quyền cấp root trên hệ thống dễ bị tấn công.

"Broadcom VMware Aria Operations và VMware Tools chứa một đặc quyền được định nghĩa với lỗ hổng hành động không an toàn", CISA cho biết trong một cảnh báo. "Một tác nhân cục bộ độc hại với các đặc quyền phi quản trị có quyền truy cập vào máy ảo (VM) có cài đặt VMware Tools và được quản lý bởi Aria Operations với SDMP được bật có thể khai thác lỗ hổng này để leo thang đặc quyền lên root trên cùng máy ảo đó."

Theo NVISO Labs, lỗ hổng bảo mật này đã được VMware thuộc sở hữu của Broadcom khắc phục vào tháng trước, nhưng trước đó nó đã bị các tác nhân đe dọa chưa xác định khai thác dưới dạng lỗ hổng zero-day kể từ giữa tháng 10 năm 2024. Công ty an ninh mạng này cho biết họ đã phát hiện ra lỗ hổng bảo mật này vào đầu tháng 5 trong một cuộc ứng phó sự cố.

Hoạt động này được cho là do một tác nhân đe dọa liên quan đến Trung Quốc mà Google Mandiant theo dõi là UNC5174, trong khi NVISO Labs mô tả lỗ hổng này là dễ khai thác. Chi tiết về payload chính xác được thực hiện sau khi vũ khí hóa CVE-2025-41244 hiện vẫn chưa được công bố.

"Khi thành công, việc khai thác leo thang đặc quyền cục bộ sẽ khiến người dùng không có đặc quyền thực thi mã trong các ngữ cảnh đặc quyền (ví dụ: root)", nhà nghiên cứu bảo mật Maxime Thiebaut cho biết. "Tuy nhiên, chúng tôi không thể đánh giá liệu việc khai thác này có phải là một phần trong khả năng của UNC5174 hay việc sử dụng lỗ hổng zero-day chỉ là ngẫu nhiên do tính chất đơn giản của nó."

Một lỗ hổng tiêm đánh giá nghiêm trọng khác trong XWiki cũng được liệt kê trong danh mục KEV, cho phép bất kỳ người dùng khách nào thực thi mã từ xa tùy ý thông qua một yêu cầu được thiết kế đặc biệt đến điểm cuối "/bin/get/Main/SolrSearch". Đầu tuần này, VulnCheck đã tiết lộ rằng họ đã phát hiện thấy các tác nhân đe dọa chưa rõ danh tính đang cố gắng khai thác lỗ hổng và phát tán một trình đào tiền điện tử.

Các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) được yêu cầu áp dụng các biện pháp giảm thiểu cần thiết trước ngày 20 tháng 11 năm 2025 để bảo vệ mạng lưới của họ khỏi các mối đe dọa đang diễn ra.

VietNetwork.Vn

Tìm kiếm