VMware Tools 与 Aria 零日漏洞可实现本地权限提升
CVE-2025-41244,对各大组织使用 VMware 虚拟化平台(VMware hypervisors)造成严重威胁,目前已存在在野利用。该漏洞主要影响 Vmware Tools(open-vm-tools)与VMware Aria Operations’ Service Discovery Management Pack (SDMP) 。允许非权限用户无需认证即可实现root级别的代码执行。在2024年10月中旬,UNC5174威胁组织曾武器化利用该漏洞,使混合云环境(hybrid-cloud environments)面临严重的APT风险。
漏洞概览
CVE-2025-41244 ,在名为versions.sh的脚本中使用了过于宽泛的正则表达式,而该脚本被VMware Tools and Aria Operations SDMP所使用。脚本中的get_version函数扫描当前活跃的监听套接字,并唤起套接字对应的二进制文件来取回版本信息。然而,其对非空白字符简写 \S 的使用无意中包含了用户可写目录,例如 /tmp/httpd 。攻击者可以同通过在可写目录放置恶意执行文件,VMware便会以其根权限的上下文执行。
get-versions.sh 案例:
bash get_version "/\S+(httpd-prefor|httpd|httpd2-prefork)($|\s)" -v
get_version "/\S+/mysqld($|\s)" -V通过模仿可写路径中的系统二进制文件,CVE-2025-41244 违反了 CWE-426:不受信任的搜索路径规范(Untrusted Search Path),提供了轻而易举的本地权限提升机会。
一段用 Go 语言编写的概念验证代码展示了该漏洞利用方式:一个无特权的进程会在 /tmp/httpd 下打开一个监听套接字,随后 VMware Tools 或 Aria Operations 以 -v 标志调用该进程。该恶意二进制文件执行后会通过 UNIX 套接字回连,生成一个 root 权限的 shell。在 Aria Operations 的基于凭证模式下,指标收集器每隔五分钟使用指定的管理凭证运行一次。在无凭证模式下,open-vm-tools 以其特权上下文处理指标收集,一旦恶意二进制文件就位,攻击便会自动执行。
| 项目 | 内容 |
|---|---|
| CVE-ID | CVE-2025-41244 |
| 受影响组件 | VMware Tools、VMware Aria Operations’ SDMP |
| 后果 | 本地权限提权 |
| 前提条件 | 本地非特权用户 |
| CVSS 3.1 Score | 7.8 |
漏洞影响版本
该漏洞影响以下版本:
- VMware Cloud Foundation 4.x and 5.x
- VMware Cloud Foundation 9.x.x.x
- VMware Cloud Foundation 13.x.x.x (Windows, Linux)
- VMware vSphere Foundation 9.x.x.x
- VMware vSphere Foundation 13.x.x.x (Windows, Linux)
- VMware Aria Operations 8.x
- VMware Tools 11.x.x, 12.x.x, and 13.x.x (Windows, Linux)
- VMware Telco Cloud Platform 4.x and 5.x
- VMware Telco Cloud Infrastructure 2.x and 3.x
博通公司还修复了 VMware 产品中的信息泄露漏洞(编号 CVE-2025-41245)和授权不当漏洞(编号 CVE-2025-41246)。这些补丁适用于 Aria 运维套件、Tools 工具集、Cloud 云平台及 Telco 电信解决方案。
关于作者
评论0次