VMware Tools va Aria’dagi yangi (0-day) zaiflik: oddiy foydalanuvchi root huquqlarini egallashi mumkin

VMware mahsulotlarida kuzatilgan jiddiy zaiflik — CVE-2025-41244 — mahalliy hujumchiga odatiy foydalanuvchi huquqlaridan foydalanib tizimda root darajasida kod bajarish (local privilege escalation) imkonini beradi. Broadcom muammoni 2025-yil 29-sentabrda e’lon qildi va muammo uchun xavfsizlik yangilanishi taqdim etildi.

Zaiflik nima va qanday ishlaydi

Zaiflik VMware Tools hamda VMware Aria Operations tarkibidagi xizmatlarni aniqlash (service discovery) mexanizmiga bog‘liq. Muammo — get-versions.sh skriptidagi Untrusted Search Path (CWE-426) zaifligi: skript xizmat binarlarini aniqlash uchun juda umumiy (broad) regex ifodalar ishlatadi. Natijada tizim /tmp/httpd kabi foydalanuvchi yoziladigan jildga qo‘yilgan zararli bajariluvchi faylni haqiqiy xizmat deb hisoblab, uni VMware xizmatining huquqlari bilan ishga tushirishi mumkin. Shu yo‘l bilan hujumchi root qobig‘iga ega bo‘ladi. NVISO Labs+1

Hujum qanday amalga oshiriladi — oddiy bosqichlar

  1. Hujumchi /tmp kabi yozish mumkin bo‘lgan jildga httpd yoki shunga o‘xshash nomdagi zararli fayl joylashtiradi.
  2. Faylni ishga tushirib, u tinglovchi soket ochadi.
  3. VMware Tools yoki SDMP (Service Discovery Management Pack) periodik ravishda xizmatlarni tekshiradi.
  4. Skript zararli binarni topib, -v flagi bilan — ammo VMware xizmatining yuqori huquqlari bilan — ishga tushiradi.
  5. Natijada hujumchi tizim ustidan to‘liq nazoratni qo‘lga kiritadi. SOC Prime+1

Kimlar zaif — ta’sir doirasi

  • VMware Tools o‘rnatilgan barcha virtual mashinalar (shu jumladan open-vm-tools orqali tarqatiladigan Linux distributsiyalari) xavf ostida. Ubuntu
  • VMware Aria Operations bilan SDMP yoqilgan muhitlarda boshqaruv platformasi orqali ham zaiflikdan foydalanish mumkin. Support Portal

Amalda ekspluatatsiya va tahdid aktorlari

Tajriba kompaniyasi NVISO zaiflikdan amaliy ekspluatatsiya topilgani va buning 2024-yil oktabr o‘rtalaridan beri kuzatilgani haqida xabar berdi. Ularning tahliliga ko‘ra, faoliyatni UNC5174 guruhiga bog‘lash mumkin, ammo oddiy exploitatning tabiatidan kelib chiqib, boshqa zararli dasturlar ham yillar davomida ushbu yo‘l bilan tasodifan foyda ko‘rgan bo‘lishi mumkin. NVISO Labs+1

Aniqlash va tahlil belgilarі

  • vmtoolsd yoki get-versions.sh jarayonlari tomonidan ishga tushirilgan g‘ayritabiiy child processlar kuzatilsa — bu indikatsiya bo‘lishi mumkin.
  • Forensik izlar /tmp/VMware-SDMP-Scripts-{UUID}/ kabi vaqtincha kataloglarda qolishi mumkin. Tizim jurnallarini shu nuqtalar bo‘yicha tekshirish tavsiya etiladi. SOC Prime

Himoya choralari — tez va amaliy tavsiyalar

  1. Yamoqlarni darhol o‘rnatish. Broadcom/Broadcom-egallagan VMware tomonidan chiqarilgan yangilanishlar mavjud — ularni imkon qadar tezroq tatbiq eting. Support Portal+1
  2. SDMP get-versions.sh skriptini cheklash yoki o‘chirib qo‘yish. Masalan, ba’zi Linux distributorlari muqobil ravishda ushbu skriptni vaqtincha o‘chirib qo‘yish yoki SDMP funksiyasini o‘chirish orqali xavfni kamaytirmoqda. Ubuntu
  3. /tmp va boshqa yoziladigan kataloglarni kuzatish. Noma’lum httpd, sshd yoki shu kabi xizmat nomlarida bajariluvchi fayllar paydo bo‘lmasligini tekshiring.
  4. Minimal huquqlar va izolyatsiya. VM ichida xizmatlarni imkon qadar kam huquqlarda ishga tushiring, suiste’mol yuz beradigan yo‘llarni cheklang.
  5. Monitoring va EDR qoidalarini yangilash. vmtoolsd tomonidan ishga tushirilgan child jarayonlarni kuzatish qoidalarini (detections) kiritish.

CVE-2025-41244 — soddaligi va keng tarqalganligi sababli ayniqsa xavfli bo‘lgan lokal privilege-escalation zaifligidir. Virtualizatsiya muhitida oddiy skript xatosi butun tizim xavfsizligini buzib, hujumchiga root darajasida nazorat berishi mumkin. Shu bois tashkilotlar darhol yangilanishlarni o‘rnatishi, SDMP konfiguratsiyalarini ko‘rib chiqishi va monitoringni kuchaytirishi lozim.