Ce groupe de pirates chinois exploite une faille zero-day dans VMware depuis octobre 2024 !
Une nouvelle vulnérabilité dans les produits VMware, associée à la référence CVE-2025-41244, serait exploitée en tant que faille zero-day depuis mi-octobre 2024 par un groupe de pirates lié à la Chine. Voici ce que l'on sait et comment se protéger.
Sommaire
VMware et la faille CVE-2025-41244
Lundi 29 septembre 2025, Broadcom a publié un nouveau bulletin de sécurité pour évoquer plusieurs failles de sécurité dans plusieurs de ses produits. Parmi ces vulnérabilités, il y en a une qui mérite une attention particulière : la CVE-2025-41244, associée à un score CVSS de 7.8. Elle permet une élévation de privilèges en local, via les VMware Tools et VMware Aria Operations.
Elle est décrite de cette façon par Broadcom : "Un attaquant local disposant de privilèges non administratifs et ayant accès à une VM avec VMware Tools installée et gérée par Aria Operations avec SDMP activé peut exploiter cette vulnérabilité pour élever ses privilèges jusqu'à l'utilisateur root sur la même VM."
Concrètement, un attaquant ayant déjà accès à une machine virtuelle en tant qu'utilisateur local peut l'exploiter pour obtenir des privilèges "root", soit l'accès le plus élevé sur le système. Ce qui est intéressant pour exécuter des commandes malveillantes.
La vulnérabilité a été découverte par Maxime Thiebaut de NVISO lors d'une intervention sur un incident. Il explique qu'elle réside dans la fonction get_version(), qui utilise une expression régulière pour vérifier les processus. Le problème vient d'une utilisation trop générique du caractère \S (correspondant à tout caractère non-blanc), qui permet de faire correspondre des binaires malveillants situés dans des répertoires accessibles aux utilisateurs non privilégiés, comme /tmp/. Un attaquant peut ainsi placer un binaire malveillant, par exemple /tmp/httpd pour imiter un binaire système, et obtenir des privilèges élevés.
Une vulnérabilité exploitée depuis près d'un an
D'après un rapport publié par NVISO Labs, cette vulnérabilité est activement exploitée depuis la mi-octobre 2024. Un nom de groupe de cybercriminels est également précisé : UNC5174, un groupe sponsorisé par la Chine. Il est suivi depuis plusieurs années et il est connu pour exploiter des vulnérabilités dans d'autres produits, comme Ivanti et SAP NetWeaver.
"Tout au long de ses missions de réponse aux incidents, le NVISO a déterminé avec certitude que l'UNC5174 avait déclenché l'escalade locale des privilèges. Nous ne pouvons cependant pas déterminer si cet exploit faisait partie des capacités de l'UNC5174 ou si l'utilisation de la zero-day était simplement accidentelle en raison de son caractère trivial.", peut-on lire.
Comment se protéger ?
Tout d'abord, voici la liste des produits affectés par cette faille zero-day :
- VMware Cloud Foundation 4.x et 5.x
- VMware Cloud Foundation 9.x.x.x et 13.x.x.x (Windows, Linux)
- VMware vSphere Foundation 9.x.x.x et 13.x.x.x (Windows, Linux)
- VMware Aria Operations 8.x
- VMware Tools 11.x.x, 12.x.x, et 13.x.x (Windows, Linux)
- VMware Telco Cloud Platform 4.x et 5.x
- VMware Telco Cloud Infrastructure 2.x et 3.x
Broadcom a publié des correctifs pour cette faille de sécurité, notamment VMware Tools 12.5.4 et VMware Tools 13.0.5 pour Windows et Linux. "VMware Tools 12.4.9, qui fait partie de VMware Tools 12.5.4, résout également le problème pour Windows 32 bits.", précise Broadcom. Une version d'open-vm-tools corrigée est également prévue et sera diffusée via les dépôts des distributions Linux.
Le site de Broadcom contient un tableau récapitulatif avec la liste des produits affectés et les versions patchées. Je vous encourage à le consulter. Quoi qu'il en soit, il semble important d'appliquer ce correctif.
Ces derniers jours, Broadcom a aussi publié un autre bulletin de sécurité pour 3 vulnérabilités dans VMware vCenter et NSX.
