В США госструктуры заставляют срочно устранить уязвимость VMware Tools, которую использовала китайская хакерская группировка
Изображение: recraft
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выпустило экстренное предупреждение для федеральных ведомств об угрозе, связанной с уязвимостью в программных продуктах VMware, принадлежащих Broadcom. Говорится об уязвимости CVE-2025-41244, которая уже используется хакерами, предположительно связанными с Министерством государственной безопасности Китая.
По данным CISA, уязвимость затрагивает комбинацию VMware Tools и VMware Aria Operations с включённой функцией SDMP. В случае эксплуатации локальный пользователь с ограниченными правами может получить root-доступ на виртуальной машине, что открывает путь к полному контролю над системой. Проблема признана критической — она уже используется в атаках на инфраструктуру.
Согласно директиве BOD 22-01, все федеральные органы гражданской исполнительной власти обязаны устранить уязвимость до 20 ноября 2025 года.
К числу таких структур относятся Министерство финансов, Министерство энергетики, Министерство здравоохранения и Министерство внутренней безопасности США. Хотя указание адресовано федеральным органам, CISA настаивает, что устранение должно стать приоритетом для всех организаций, использующих уязвимые компоненты.
Специалисты Broadcom официально подтвердили, что CVE-2025-41244 эксплуатируется в реальных условиях. Согласно данным компании NVISO, эксплойт впервые был зафиксирован в действиях хакерской группировки UNC5174 в октябре 2024 года. Европейский эксперт Максим Тибо, работающий в NVISO, передал сведения о фактическом использовании уязвимости и опубликовал код, подтверждающий возможность повышения привилегий с использованием этой дыры в защите.
UNC5174, по информации аналитиков из Google Mandiant, напрямую связана с Министерством государственной безопасности Китая и фигурировала в ряде инцидентов.
В конце 2023 года она продавала доступ к сетям оборонных подрядчиков США, ведомствам Великобритании и учреждениям в Азии после атак с использованием другой уязвимости — CVE-2023-46747, связанной с системой F5 BIG-IP.
В 2024 году группировка продолжила активность. В феврале были зафиксированы масштабные взломы через уязвимость ConnectWise ScreenConnect (CVE-2024-1709), в результате чего пострадали сотни организаций в США и Канаде. Позже, в мае, UNC5174 атаковала серверы с уязвимостью в системе NetWeaver Visual Composer (CVE-2025-31324), что дало возможность выполнить удалённый код без аутентификации.
