СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
03.10.2025
#ИБ#Облака

CVE-2025-41244: критическая уязвимость VMware и UNC5174

CVE-2025-41244: критическая уязвимость VMware и UNC5174

Недавняя аналитика по кибербезопасности выявила активное использование критической уязвимости в продуктах VMware — CVE-2025-41244. Уязвимость представляет собой местное повышение привилегий (local privilege escalation) с оценкой по CVSS 7.8 и позволяет злоумышленникам получить доступ уровня root в виртуальных машинах. Эксплуатация фиксируется с конца 2024 года и уже используется сложной целевой группой UNC5174.

В чем заключается уязвимость

Уязвимость возникает из-за ошибки с регулярным выражением в функции get_version(), которая применяется при обнаружении служб. Неправильная обработка входных данных позволяет функции без ограничений принимать символы, не содержащие пробелов, что открывает возможность запуска двоичных файлов из произвольных каталогов — в том числе небезопасных путей типа /tmp. Исследователи опубликовали доказательство концепции (PoC), демонстрирующее, насколько проста эксплуатация этой ошибки.

PoC демонстрирует, насколько просто использовать эту уязвимость.

Кто использует уязвимость

По имеющимся данным, за эксплуатацией стоит группа UNC5174, действующая в роли посредника первоначального доступа (initial access broker). Группа использует подобные уязвимости для проникновения в ценные корпоративные среды и дальнейшей эксплуатации корпоративного ПО. Их операции сосредоточены на стратегически значимых целях, что повышает риск утечек и последующих атак на чувствительные системы.

Последствия и зоны риска

С учетом характера уязвимости, последствия могут быть серьёзными для гибридных облачных и корпоративных сред. Основные риски:

  • Получение привилегий root в виртуальных машинах и последующий широкой доступ к данным и инфраструктуре;
  • Использование уязвимости как точки входа для дальнейшего распространения по сети;
  • Целенаправленные атаки на критические бизнес-приложения и сервисы;
  • Эксплуатация связных уязвимостей в продуктах VMware, включая Aria Operations, NSX и vCenter.

Рекомендации для организаций

Эксперты по безопасности рекомендуют незамедлительно предпринимать следующие шаги для снижения риска:

  • Применить последние исправления и рекомендации от Broadcom для устранения CVE-2025-41244 во всех затронутых продуктах.
  • Провести аудит конфигурации виртуальных машин и убедиться, что механизмы обнаружения служб настроены безопасно.
  • Ограничить привилегии пользователей: минимизировать права non-admin пользователей везде, где это возможно.
  • Проверить и обновить другие связанные компоненты VMware — в частности Aria Operations, NSX и vCenter.
  • Ввести мониторинг необычной активности процессов и попыток запуска бинарников из нестандартных директорий (например, /tmp).
  • Развернуть постоянный мониторинг и механизмы обнаружения попыток эксплуатации со стороны целевых групп, таких как UNC5174.

Индикаторы компрометации (IOC) — на что обращать внимание

Для своевременного обнаружения возможной эксплуатации специалистам по безопасности рекомендуется искать специфические индикаторы, связанные с использованием CVE-2025-41244. Включая, но не ограничиваясь следующими проявлениями:

  • запуск двоичных файлов из временных или нестандартных директорий (/tmp и аналогичных);
  • аномальная активность процессов, связанных с обнаружением служб и вызовами get_version();
  • появление следов PoC-кода или неизвестных бинарных файлов в окружениях виртуальных машин;
  • необычные соединения или действия, указывающие на пост-эксплуатационную активность (перемещение по сети, привязки к учетным записям с повышенными правами).

Вывод

Серьезность CVE-2025-41244 и доказанная активная эксплуатация делают эту проблему приоритетной для срочного реагирования. Организациям необходимо немедленно применить исправления Broadcom, усилить контроль привилегий и внедрить проактивный мониторинг аномалий в виртуальных средах. Только комплексный подход — обновления, аудит конфигураций и постоянный мониторинг — позволит снизить риск успешных атак со стороны хорошо подготовленных злоумышленников, таких как UNC5174.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: