事件概述 2024年10月中旬以来,安全研究与响应团队发现针对 VMware 平台的一个新的本地权限提升零日漏洞被实际利用。该漏洞被编号为 CVE-2025-41244,严重性评分为 7.8(高危险),影响 Broadcom(原 VMware)的一系列产品,包括 VMware Tools、VMware Aria Operations 以及多版本的 VMware Cloud Foundation 与 vSphere。安全公司 NVISO Labs 将实际利用活动归因于一个被认为与中国有关联的威胁组织,Mandiant 跟踪为 UNC5174(别名 Uteus 或 Uetus)。厂商已发布补丁并给出修复建议,但该漏洞的利用说明仍然对运行虚拟化环境的组织构成显著威胁。 漏洞本质与攻击前提 CVE-2025-41244 是一个本地权限提升漏洞,根源在于 VMware 度量采集组件中名为 get_version() 的函数处理可匹配进程二进制文件路径的正则表达式时存在匹配范围过宽的问题。函数会为每个监听套接字的进程应用正则模式,以判断该进程对应的二进制是否为系统二进制,如果匹配则调用相应服务的版本命令。
然而正则表达式中使用了宽泛的字符类(例如 \S),会把非系统路径也匹配进来,例如 /tmp/httpd。由于 /tmp 等临时目录对非特权用户可写,攻击者可以在这些可写目录中放置伪装的系统二进制并触发监听端口,从而在被 VMware 的度量或版本检测逻辑误识别并以更高权限执行时实现提权。 需要强调的是,该漏洞本身并不能让远程攻击者直接入侵系统。成功利用前提是攻击者已获得目标机器上的非管理员账户访问权限或以某种方式能够在受害虚拟机内执行非特权进程。这意味着漏洞通常会在攻击链的后续阶段被结合其他初始访问手段(如凭证滥用、钓鱼、未修补的远程漏洞等)使用,以完成横向移动和权限提升。 NVISO 的观察与利用细节(高层次) NVISO Labs 报告指出,在他们的响应行动中,发现威胁组织使用了 /tmp/httpd 这样的位置来放置伪装的二进制,从而被度量收集组件误触发并生成以 root 权限运行的 shell。
研究人员归因该利用行为给 UNC5174。但 NVISO 并未公开更多关于实际载荷的细节或完整利用链,以避免进一步帮助攻击者复制利用方法。厂商 Broadcom/VMware 尚未在最初声明中确认是否在大规模攻击中观察到该零日被使用,但在随后发布了安全公告并提供了修补版本信息。 受影响产品范围(概要) 受影响的主要组件包括多个 VMware 家族与版本的实现,尤其是安装了 VMware Tools 或由 Aria Operations 管理并启用了 SDMP(服务发现与度量处理)功能的虚拟机。主要受影响的组件和版本包括 VMware Tools 的若干 11、12、13 系列版本,VMware Aria Operations 8.x,以及 Cloud Foundation 和 vSphere 的多个版本。Broadcom 在安全公告中指出,基于 Windows 32 位系统的 VMware Tools 12.4.9(以及包含其在内的 12.5.4)已经修复了该缺陷,而针对 Linux 的 open-vm-tools 修复将由各 Linux 发行商分发。
攻击风险评估 CVE-2025-41244 的最大风险在于它允许已有本地访问的非特权用户在目标虚拟机内提升至 root,从而能够绕过多项宿主与虚拟化层的安全限制,扩展后续攻击面。对企业影响尤为显著的情景包括云托管服务、虚拟桌面、托管虚拟化环境以及运行关键业务应用的虚拟机环境。若攻击者通过其他手段先获得了目录写入或低权限命令执行能力,便能利用该漏洞实现持久化、横向移动与关键数据或凭证的窃取。 因为该漏洞依赖于本地条件,防护的核心在于两方面:第一是尽快修补并升级受影响组件,彻底消除漏洞;第二是通过强化边界与终端防护、检测可疑本地活动来阻断或侦测利用尝试。 检测与指标(高层行动项) 组织在响应与检测时应聚焦于与该漏洞利用相关的行为痕迹,而非传播式的远程攻击指标。以下是若干可监测的方向,便于安全团队尽早发现利用活动并进行处置。
请注意这些为检测方向,不包含易被滥用的具体利用步骤。 关注临时目录或非标准路径中出现的可执行文件或伪装系统程序名称,例如以 httpd、sshd、nginx 等常见系统服务命名但位于 /tmp、/var/tmp 或用户主目录下的二进制文件。监控进程创建监听套接字的异常事件,尤其是非系统二进制在监听端口时伴随短暂或不寻常的执行上下文。审查 Aria Operations 与 VMware 工具的日志中关于版本检查或度量采集失败/异常的记录,查找在度量采集中对可执行文件路径的异常识别或命令执行。强化对受影响虚拟机上的审计日志(如 auditd、syslog、Windows 事件日志)的收集与长期保存,以便溯源与取证。监测非特权用户账号的异常行为,例如短时间内出现能够启动网络监听、创建可执行文件、修改 /tmp 下文件权限等操作。
结合主机检测与响应(EDR)、网络流量分析(NTA)和 SIEM 规则对上述行为进行关联告警。 缓解与修复建议 首先应当立即评估受影响资产清单,优先处理那些暴露在关键业务路径或托管大量敏感数据的虚拟机。厂商已发布修补程序并说明了不同组件的修复版本,应按厂商建议尽快将 VMware Tools、open-vm-tools 以及 Aria Operations 升级到包含修复的版本。对无法立即打补丁的系统,应采取临时缓解措施以降低风险,例如限制对临时目录的写入、调整虚拟机监控与度量的配置(如禁用不必要的 SDMP 功能)、提高最小权限策略、并阻止非特权用户启动监听服务或上传可执行文件。 长期安全卫士策略中应将主机与虚拟化层的强化作为常态化工作,包括及时安装补丁、对虚拟机内核与工具进行变更控制、实施强口令与多因素认证、限制特权账号数量并进行审计、对临时目录和用户可写路径进行定期扫描以发现异常可执行文件。对于托管环境和云服务提供商而言,应加强对客户虚拟机行为的监测能力与事件响应能力,并与客户沟通补丁计划与检测策略。
响应流程与取证要点 若怀疑系统遭到利用,应立即隔离受影响虚拟机以防止横向扩展并对现场进行取证。收集关键日志与内存快照、保存可疑二进制与网络连接信息,以及记录与保存系统完整性检查的结果。重点关注在利用窗口内创建的临时可执行文件、可疑 shell 会话记录、异常的系统二进制调用堆栈以及可能的持久化工件。与厂商或第三方受信赖的应急响应团队合作,可帮助组织快速识别利用链起点与受影响范围,并制定恢复计划与补救清单。 对供应链与第三方风险的反思 此次零日利用再次提醒企业重视虚拟化平台与供应链安全。许多组织在日常运维中对 VMware Tools 等基础组件的升级频率低于对操作系统或应用的关注,这种偏差为威胁者提供了可乘之机。
云与托管服务提供商需在合同与运营实践上明确对基础组件补丁的责任划分,并为客户提供及时的修复通知与自动化更新机制。同时,组织应在采购与外包审核中纳入对虚拟化与监控工具安全性的评估。 为什么归因重要且敏感 NVISO Labs 将此次活动归因为 UNC5174,并指出该组织过去曾利用 Ivanti、SAP NetWeaver 等漏洞获取初始访问。归因有助于组织理解威胁动机和目标选择,进而调整防护重点,但也存在误判与情报偏差的风险。因此在行动策略上,归因信息应被作为威胁情报的一部分,与内部检测、日志证据和业务情景共同驱动响应决策,而不应作为唯一依据。 企业可采取的优先行动清单 全面扫描资产以识别安装了受影响 VMware Tools 或由 Aria Operations 管理的虚拟机,优先对业务关键与受监管环境进行补丁和验证。
部署并强化主机检测能力以监测临时目录中可疑可执行文件与非特权进程创建监听套接字的行为。加强日志集中与长周期保存,确保在发生安全事件时具备足够的取证数据。与云与托管服务提供商沟通补丁计划并核实其修复进度,必要时要求快速响应或临时隔离策略。开展针对性安全演练,验证组织在类似情景下的检测与响应链路是否畅通。 结语与安全建议 CVE-2025-41244 的实际利用提醒我们,即便是看似"本地"的逻辑缺陷也能被熟悉目标环境的攻击者放大为危险的纵深攻击手段。对于依赖虚拟化技术的组织而言,及时修补基础组件、强化对临时目录与非特权执行行为的监测,以及构建成熟的主机级检测与应急响应能力同样重要。
通过对受影响组件的主动排查与升级、结合行为检测与日志分析,组织能够有效降低该类零日带来的风险。对安全团队而言,维持补丁节奏、完善可视化与告警规则、以及与供应商和外部威胁情报共享渠道保持沟通,是应对此类事件的关键要素。 如果尚未完成升级或不确定是否受影响,请将 VMware Tools、open-vm-tools 与 Aria Operations 的版本信息与厂商发布的补丁说明进行比对,并将受影响主机纳入高优先级修复计划。对于已发现可疑迹象的组织,应立即启动应急响应流程并考虑寻求外部专业支援以进行深入取证与清理。 持续关注厂商最新安全公告与权威威胁情报更新,保持对虚拟化与云端基础设施安全的高度重视,是降低未来类似风险的长期策略。 。
