Информация об эксплуатации Описание уязвимости: Проблема затрагивает облачные инфраструктуры, где VMware Aria Operations собирает расширенные данные с Linux-виртуальных машин с включённым параметром credential-less service discovery». При такой настройке сбор выполняется агентами через VMware Tools/Open VM Tools и не требует учётных данных, что повышает риск при неправильной конфигурации. Как выяснили исследователи из NVISO , VMware Tools/Open VM Tools собирает информацию о сервисах с помощью bash скрипта, который с определенной периодичностью запускается самим VMware Aria Operations. Данный скрипт для поиска сервисов на машине использует команду для поиска запущенных процессов с заданным паттерном. Паттерн настроен на поиск таких сервисов как httpd или apache. Далее скрипт находит их исполняемые файлы и выполняет их в контексте текущего процесса Vmware Tools для получения версий. Уязвимость заключается в том, что процесс не учитывает расположение файлов ( CWE-426 ). Пользователь с правами на запись и запуск в доступных ему директориях может создать вредоносный исполняемый файл, название которого соответствует регулярному выражению в скрипте (например /tmp/httpd). После этого атакующий должен запустить его в ожидающем состоянии , как отдельный процесс. Когда VMware Tools начнет собирать информацию о процессах, то он сам найдет и выполнит вредоносный файл в контексте своего процесса. Так как VMware Tools работает с привилегиями суперпользователя, то вредоносный код выполнится с правами root. Статус эксплуатации уязвимости: По данным NVISO данная CVE эксплуатировалась ранее как уязвимость нулевого дня в середине октября 2024 года, китайской группировкой UNC5174 . Уязвимость была добавлена CISA в Каталог известных эксплуатируемых уязвимостей (KEV) 30 октября 2025 года со сроком исправления до 20 ноября. Есть PoC эксплойта в открытом доступе. Возможные негативные сценарии: Локальное повышение привилегий на виртуальной машине до суперпользователя, что означает полную компрометацию хоста. В дальнейшем атакующий может развернуть необходимую инфраструктуру для дальнейшего горизонтального перемещения, либо провести кражу данных или их изменение. Рекомендации по устранению Необходимо обновить Vmware Tools до версий 12.5.4, 13.0.5 или выше и VMware Aria Operations до версии 8.18.5 или выше; До установки обновлений отключить настройку credential-less service discovery для предотвращения запуска уязвимого скрипта на виртуальных машинах. Как защититься? В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты. Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение. Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов. Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей. Следите за обновлениями и до встречи в следующем выпуске дайджеста! Теги: Source: https://habr.com/ru/amp/publications/964824/