أُعلن عن ثغرة أمان تم تصحيحها تؤثر في Broadcom VMware Tools وVMware Aria Operations، وقد استُغلت فعلياً في البيئة الحقيقية كـ ثغرة صفرية محلية (local privilege escalation) منذ منتصف أكتوبر 2024، بحسب تحليلات شركة NVISO Labs.ُ
الثغرة المُوسومة CVE-2025-41244 حُددت بدرجة خطورة 7.8 (CVSS) وتؤثر في عدة إصدارات من منتجات VMware، منها: VMware Cloud Foundation (4.x، 5.x، 9.x.x.x، 13.x.x.x)، VMware vSphere Foundation (9.x.x.x، 13.x.x.x)، VMware Aria Operations 8.x، إصدارات VMware Tools 11.x.x و12.x.x و13.x.x، ومنصات Telco Cloud.
كيف يحدث التصعيد؟ — خلل في دالة get_version()
تستغل الثغرة وظيفة اسمها get_version() التي تقبِل نمط تعبير اعتيادي (regex) لكل عملية تمتلك سوكت استماع، ثم تتحقق ما إذا كان الملف الثنائي المرتبط يتطابق مع النمط، وإذا طابق تستدعي أمر إرجاع الإصدار لذلك الملف. المشكلة أن بعض الأنماط تستخدم فئة مطابقة عامة \S (أي أي حرف غير مسافة) ما يؤدي إلى مطابقة ملفات ثنائية غير نظامية تقع في مسارات قابلة للكتابة من قبل مستخدمين غير مميزين (مثل /tmp/httpd).
هذا يتيح للمهاجم المحلي غير المميّز وضع ملف ثنائي خبيث في مثل هذا المسار، ثم الحصول على تصعيد للصلاحيات عندما تنفذ خدمة جمع مقاييس VMware ذلك الملف، ما يؤدي إلى تنفيذ تعليمات بسياق مرتفع (مثلاً root).
من يقف وراء الاستغلال وما رصده الباحثون
نسبت NVISO Labs نشاط الاستغلال إلى جهة تُتابعها Google Mandiant تحت اسم UNC5174 (المعروفة أيضاً بـ Uteus أو Uetus)، والتي لديها سجل في استغلال ثغرات للحصول على وصول مبدئي إلى بيئات مستهدفة. الباحث Maxime Thiebaut يُنسب إليه اكتشاف القضية والإبلاغ عنها في 19 مايو 2025 أثناء استجابة لحادث.
رصدت NVISO استخدام UNC5174 لموقع /tmp/httpd لتمهيد ملف ثنائي خبيث وإنشاء غلاف (shell) مرفّع الصلاحية، ما مكّن المهاجم من تنفيذ تعليمات بامتيازات مرتفعة. ولا تزال طبيعة الحمولة النهائية التي شغّلها المهاجم غير واضحة، حيث اختارت NVISO عدم الإفصاح عن تفاصيل إضافية حول الحمولة حتى الآن.
تبعات عملية وتخفيف وتأمين
أوضحت Broadcom/VMware أن الثغرة تتطلب قدرة وصول محلي أولية — أي أن المهاجم يجب أن يملك وسيلة أولية للوصول إلى الجهاز المستهدف قبل استغلال التصعيد. أعلنت الشركة أن إصدار VMware Tools 12.4.9 (ضمن 12.5.4) يعالج المشكلة لأنظمة ويندوز 32-بت، وأن نسخاً مصححة من open-vm-tools ستُوزَّع عبر موزعي لينوكس.
وتشير الممارسات الملاحَظة إلى أن تقليد ثنائيات النظام (مثل استخدام اسم httpd) قد يكون أتاح لعدة برمجيات خبيثة أخرى الاستفادة من ثغرات تصعيد مشابهة على مدى سنوات.
