はじめに
Broadcomは、VMware Aria OperationsおよびVMware Toolsソフトウェアにおける高深刻度の特権昇格の脆弱性(CVE-2025-41244)を修正しました。この脆弱性は、2024年10月から中国のハッカー集団によってゼロデイ攻撃に悪用されていたことが明らかになりました。
Broadcomは、このセキュリティバグが実際に悪用されたことを明示していませんでしたが、NVISOの脅威リサーチャーであるMaxime Thiebaut氏が5月にこのバグを報告したことに感謝を表明しました。しかし、NVISOは昨日、この脆弱性が2024年10月中旬から実際に悪用されており、その攻撃がUNC5174と呼ばれる中国国家支援の脅威アクターに関連していることを開示しました。
脆弱性の詳細と悪用手口
CVE-2025-41244は、認証されていないローカル攻撃者が、広範にマッチする正規表現パス(例:/tmp/httpd)内に悪意のあるバイナリを配置することで悪用される可能性があります。Thiebaut氏の説明によると、この悪意のあるバイナリがVMwareのサービスディスカバリによって検出されるためには、非特権ユーザーによって実行され(つまり、プロセスツリーに表示され)、少なくとも1つの(ランダムな)リスニングソケットを開く必要があります。
NVISOは、この脆弱性を悪用してVMware Aria Operations(認証情報ベースモード)およびVMware Tools(認証情報なしモード)を実行しているシステムで特権を昇格させ、最終的にVM上でルートレベルのコード実行を可能にする概念実証(PoC)エクスプロイトも公開しました。
UNC5174とは
Google Mandiantのセキュリティアナリストは、UNC5174が中国国家安全部(MSS)の請負業者であると考えています。彼らは、UNC5174が2023年後半にF5 BIG-IPのCVE-2023-46747リモートコード実行脆弱性を悪用した攻撃の後、米国の防衛請負業者、英国政府機関、アジアの機関のネットワークへのアクセスを販売していることを確認しています。
UNC5174は、他にも以下の脆弱性を悪用しています:
- 2024年2月には、ConnectWise ScreenConnectのCVE-2024-1709脆弱性を悪用し、数百の米国およびカナダの機関に侵入しました。
- 2025年5月には、NetWeaver Visual ComposerのCVE-2025-31324認証なしファイルアップロード脆弱性の悪用にも関連しており、攻撃者は脆弱なNetWeaver Visual Composerサーバーでリモートコード実行を可能にしました。
この攻撃の波には、Chaya_004、UNC5221、CL-STA-0048などの他の中国系脅威アクターも加わり、英国や米国の重要インフラを含む580以上のSAP NetWeaverインスタンスにバックドアを仕掛けました。
VMware製品における最近のセキュリティ動向
Broadcomは、月曜日にも米国国家安全保障局(NSA)によって報告された2つの高深刻度VMware NSX脆弱性を修正しました。また、3月には、Microsoft Threat Intelligence Centerによって報告された3つの積極的に悪用されていたVMwareゼロデイバグ(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226)も修正しています。