サイバーニュース.jp

世界のサイバーなニュースを配信

VMware ToolsとAriaのゼロデイ脆弱性が特権昇格に悪用中

カテゴリ:

, , , , , , , , ,

概要

VMwareハイパーバイザーを利用する組織は、現在活発に悪用されているローカル特権昇格のゼロデイ脆弱性「CVE-2025-41244」により、緊急の脅威に直面しています。

この脆弱性は、VMware ToolsVMware Aria OperationsのService Discovery Management Pack (SDMP)の両方に影響を与え、認証されていない非特権ユーザーがルートレベルのコード実行を可能にします。

UNC5174脅威グループは、2024年10月中旬からこの脆弱性を悪用しており、ハイブリッドクラウド環境における高度な持続的脅威のリスクを高めています。

影響の概要:

  • CVE ID: CVE-2025-41244
  • 影響を受けるコンポーネント: VMware Tools (open-vm-tools) および VMware Aria OperationsのSDMP
  • 影響: ローカル特権昇格
  • 悪用の前提条件: ローカルの非特権ユーザー
  • CVSS 3.1 スコア: 7.8

脆弱性の詳細

VMware Aria Operationsは、VMware Aria Suiteの一部として、SDMPプラグインを介して仮想マシン全体のパフォーマンス分析とキャパシティプランニングを提供します。サービスディスカバリは2つのモードで動作します。

  • 認証情報ベースモード: VMware Aria Operationsは、指定された管理者認証情報を使用してゲストVM内でメトリクスコレクタースクリプトを実行し、VMware Toolsがプロキシとして機能します。
  • 認証情報なしモード: VMware Tools自体が、その特権コンテキストでメトリクス収集を処理し、認証情報は不要です。

NVISOの分析により、CVE-2025-41244は、Aria Operationsスクリプト内の認証情報ベースモードと、オープンソースのVMware Tools (open-vm-tools) 内の認証情報なしモードの両方に存在することが確認されました。これは、get-versions.shコンポーネント内の過度に広範な正規表現パターンが原因です。

技術的な脆弱性

get-versions.sh内のget_version()関数は、リスニングソケットを持つプロセスを繰り返し処理し、一致するバイナリを実行してそのバージョンを取得します。

いくつかの正規表現パターンでは、非空白文字の短縮形である\Sが使用されており、意図せずユーザーが書き込み可能なディレクトリ(例: /tmp/httpd)と一致してしまいます。これにより、攻撃者はそのような場所に悪意のあるバイナリを配置し、VMwareの特権コンテキストで実行させることが可能になります。

例: get_version "/\S+/(httpd-prefork|httpd|httpd2-prefork)($|\s)" -v

例: get_version "/\S+/mysqld($|\s)" -V

書き込み可能なパスでシステムバイナリを模倣することで、CVE-2025-41244はCWE-426: Untrusted Search Pathに違反し、容易なLPE(ローカル特権昇格)の機会を提供します。

Goで書かれたPoC(概念実証)では、攻撃者の非特権プロセスが/tmp/httpdの下でリスニングソケットを開き、その後VMware ToolsまたはAria Operationsが-vフラグでそれを呼び出すことが示されています。呼び出されたバイナリは、UNIXソケットを介して接続し直し、ルートシェルを生成します。

実際には、Aria Operationsの認証情報ベースのコレクターは5分ごとに実行され、認証情報なしの収集はVMware Tools内で自動的に行われます。

緩和策と推奨事項

この脆弱性から保護するために、以下の対策を講じることが強く推奨されます。

  • 即時パッチ適用: VMware ToolsとAria Operationsの両方に、Broadcomのアドバイザリ更新を適用してください。
  • プロセス監視: vmtoolsdまたはAria SDMPの子プロセスが非標準パスから発生した場合にアラートを出すように設定してください。
  • ファイルシステム強化: 正規表現パターンに含まれるディレクトリ(例: /tmp)への書き込み権限を制限してください。
  • ネットワーク分離: ゲストVMの内部ネットワークへのアクセスを制限し、攻撃者の侵入経路を減らしてください。

結論

CVE-2025-41244は、サービスディスカバリにおけるわずかなロジックの欠陥が、いかに深刻な特権昇格につながるかを示す典型的な例です。その容易な悪用とUNC5174による実際の使用は、同様のゼロデイ攻撃を阻止するために、迅速なパッチ管理、堅牢なプロセス監視、および強化されたゲストVM環境の必要性を強調しています。

元記事: https://gbhackers.com/vmware-tools-aria-0-day-privilege-escalation/

投稿をさらに読み込む