Bleeping Computerは9月30日(米国時間)、「Chinese hackers exploiting VMware zero-day since October 2024」において、VMware製品の脆弱性「CVE-2025-41244」が中国の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「UNC5174」に悪用されていたと報じた。
この脆弱性はVMware Aria OperationsおよびVMware Toolsに存在し、悪用されると特権昇格が可能とされる。Broadcomは9月29日、影響を受ける製品への修正パッチを公開し、当該製品の利用者にアップデートを推奨している。
-
Chinese hackers exploiting VMware zero-day since October 2024
脆弱性に関する情報
脆弱性の情報は次のページにまとまっている。
- Support Content Notification - Support Portal - Broadcom support portal
- You name it, VMware elevates it (CVE-2025-41244)
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-41244 - VMware Aria Operations(認証情報ベースのサービス検出)およびVMware Tools(認証情報不要のサービス検出)にローカル権限昇格の脆弱性。権限を持たないローカルの攻撃者は、同じ仮想マシン上で管理者権限(root)を取得できる可能性がある(CVSSスコア: 7.8)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- VMware Aria Operations 8.18.5よりも前のバージョン
- VMware Tools 13.0.5よりも前のバージョン
- VMware Tools 12.5.4よりも前のバージョン
- VMware Tools 11.x
- VMware Cloud Foundation Operations 9.x
- VMware Telco Cloud Platform
- VMware Telco Cloud Infrastructure
脆弱性を修正した製品
脆弱性を修正したとされる製品およびバージョンは次のとおり。
- VMware Aria Operations 8.18.5
- VMware Tools 13.0.5
- VMware Tools 12.5.4
- VMware Cloud Foundation Operations 9.0.1.0
影響と対策
対象の脆弱性はNVISO研究所がインシデントの調査中に発見された。同研究所の発表によると、2024年10月中旬頃から実環境での脆弱性の悪用が確認されたという。
研究所は脆弱性の詳細情報と共に、概念実証(PoC: Proof of Concept)コードも公開している。さらなる悪用の拡大が懸念されることから、当該製品を利用しているユーザーには速やかなアップデートが推奨されている。
GoogleアカウントがGmailアドレス「@gmail.com」の変更に対応
