أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) يوم الخميس ثغرة أمنية خطيرة تؤثر في أدوات Broadcom VMware Tools ومنصة VMware Aria Operations إلى كتالوج الثغرات المستغلة فعليًا (KEV)، بعد ورود تقارير عن استغلال نشط لها في الهجمات الجارية على الإنترنت.
تحمل الثغرة الرمز CVE-2025-41244، وتُقيَّم بدرجة 7.8 على مقياس CVSS، ما يجعلها عالية الخطورة، إذ يمكن استغلالها لتمكين المهاجم من الحصول على صلاحيات الجذر (root) في الأنظمة المتأثرة.
وفي التحذير الرسمي، أوضحت CISA أن “منتجي Broadcom VMware Aria Operations وVMware Tools يحتويان على ثغرة مرتبطة بامتيازات محددة بتنفيذ غير آمن للإجراءات، ويمكن لمهاجم محلي غير إداري لديه وصول إلى جهاز افتراضي (VM) مثبت عليه VMware Tools وتتم إدارته عبر Aria Operations مع تمكين SDMP استغلال هذه الثغرة لتصعيد الامتيازات إلى الجذر على الجهاز ذاته”.
استغلال صيني وثغرة بسيطة التنفيذ
رغم أن شركة VMware المملوكة لـBroadcom أصلحت الثغرة خلال الشهر الماضي، فإنها كانت قد استُغلت بالفعل كـ”ثغرة يوم صفر” منذ منتصف أكتوبر 2024، بحسب تقرير من مختبرات NVISO.
وذكرت الشركة أنها اكتشفت الثغرة لأول مرة في مايو 2025 أثناء تعاملها مع حادثة اختراق ميدانية. وقد نُسبت الأنشطة الاستغلالية إلى جهة تهديد مرتبطة بالصين، تُعرف باسم UNC5174 وفق تصنيف شركة Google Mandiant.
ووصف باحثو NVISO الثغرة بأنها سهلة الاستغلال إلى درجة التبسيط، في حين لم تُكشف بعد تفاصيل الحمولة البرمجية التي تم تنفيذها بعد استغلال الثغرة.
وقال الباحث الأمني ماكسيم تيبو: “عند نجاح الهجوم، يؤدي استغلال الثغرة إلى منح المستخدمين غير المصرح لهم القدرة على تنفيذ تعليمات برمجية في سياقات ذات امتيازات مرتفعة، مثل الجذر. ولا يمكننا الجزم إن كانت الثغرة جزءًا من ترسانة UNC5174 أو مجرد استخدام عابر بسبب سهولة استغلالها”.
ثغرة خطيرة أخرى في XWiki
إلى جانب ثغرة VMware، أدرجت CISA أيضًا ثغرة حقن “eval” حرجة في منصة XWiki، تتيح لأي مستخدم ضيف تنفيذ تعليمات برمجية عن بُعد عبر إرسال طلب مخصص إلى نقطة النهاية “/bin/get/Main/SolrSearch”.
وكانت شركة VulnCheck قد كشفت في وقت سابق من الأسبوع الجاري عن محاولات استغلال فعلية لهذه الثغرة من قبل جهات مجهولة، هدفت إلى زرع أدوات لتعدين العملات المشفّرة على الأنظمة المصابة.
مهلة إلزامية للوكالات الحكومية الأميركية
طالبت وكالة CISA الوكالات الفدرالية التابعة للسلطة التنفيذية المدنية (FCEB) بتطبيق الإجراءات التصحيحية اللازمة قبل 20 نوفمبر 2025، لحماية شبكاتها من التهديدات النشطة، وضمان سد الثغرات التي باتت تحت الاستغلال الفعلي من جهات تهديد متقدمة.
