Vulnerabilità CVE-2025-41244: Zero-Day in VMware Tools e Aria sfruttata per escalation privilegi
A pochi giorni dalla vulnerabilità critica CVE-2025-20352 in Cisco IOS e IOS XE, attivamente sfruttata in natura, il panorama delle minacce informatiche viene nuovamente scosso da un altro zero-day. Tracciata come CVE-2025-41244, questa nuova vulnerabilità sfruttata colpisce VMware Tools e VMware Aria Operations, consentendo l’elevazione dei privilegi locali e permettendo agli utenti non privilegiati di eseguire codice con privilegi root sui sistemi interessati.
Nel 2025, la gestione delle vulnerabilità è emersa come una priorità globale critica, mentre le organizzazioni affrontano rischi crescenti per la sicurezza informatica. Sono state divulgate oltre 35.000 vulnerabilità in tutto il mondo, con un aumento del 21% rispetto all’anno precedente, aumentando la pressione sui team di sicurezza per stare al passo. Poiché lo sfruttamento rimane il principale vettore di attacco e gli attori delle minacce adottano metodi sempre più sofisticati, la rilevazione proattiva è cruciale per ridurre la superficie di attacco.
La facilità di sfruttamento del nuovo zero-day identificato in VMware Tools e Aria (CVE-2025-41244) evidenzia l’importanza critica di patch rapide, monitoraggio rigoroso dei processi e rafforzamento degli ambienti VM guest per difendersi da minacce zero-day comparabili.
Registrati alla piattaforma SOC Prime per accedere a competenze di cybersecurity di alto livello e all’IA per una difesa informatica enterprise-ready. La piattaforma SOC Prime offre rilevamenti curati e arricchiti di contesto per aiutare le organizzazioni a contrastare qualsiasi minaccia, inclusi i crescenti volumi di vulnerabilità zero-day che colpiscono software ampiamente utilizzati. Clicca sul pulsante Esplora i Rilevamenti qui sotto per accedere immediatamente alla raccolta completa di regole Sigma rilevanti filtrate dal tag “CVE” e prevenire attacchi che sfruttano vulnerabilità note ed emergenti.
Gli algoritmi di rilevamento sopra citati, che affrontano i tentativi di sfruttamento della vulnerabilità, sono mappati su MITRE ATT&CK® e potenziati con threat intelligence nativa AI per fornire un contesto approfondito sulle minacce informatiche e accelerare la ricerca sulle minacce. Le regole Sigma possono essere convertite automaticamente in più formati SIEM, EDR e Data Lake, semplificando il processo di ingegneria del rilevamento e aumentando la produttività del team.
Con Uncoder AI, copilota AI e IDE per l’ingegneria del rilevamento, i team di sicurezza possono convertire le informazioni grezze dei report in query IOC personalizzate, visualizzare gli Attack Flow, ottenere sintesi o alberi decisionali, potenziare le strategie di rilevamento con il codice ML ATT&CK® taggato e completamento automatico illimitato, o ottimizzare query nella lingua nativa tramite AI. L’ultima versione di Uncoder AI offre una modalità AI Chat Bot e strumenti MCP per aiutare gli esperti di sicurezza a gestire i compiti di ingegneria del rilevamento end-to-end.
Analisi di CVE-2025-41244
I difensori hanno osservato una nuova vulnerabilità zero-day di elevazione privilegi locali in VMware Tools e VMware Aria Operations, attivamente sfruttata in attacchi reali. La falla critica, tracciata come CVE-2025-41244 (CVSS 7.8), colpisce il Service Discovery Management Pack (SDMP) di VMware Tools e VMware Aria Operations, consentendo agli utenti non privilegiati di eseguire codice arbitrario con privilegi root.
I ricercatori NVISO hanno tracciato il problema a una debolezza di Untrusted Search Path (CWE-426) nello script get-versions.sh, che utilizza pattern regex troppo ampi per individuare i binari dei servizi. Un attaccante può posizionare un binario malevolo in una directory scrivibile (es. /tmp/httpd), che il processo di discovery di VMware esegue poi con privilegi elevati, concedendo pieno accesso root.
La vulnerabilità colpisce sia la discovery senza credenziali (tramite VMware Tools su VM guest) sia la discovery legacy basata su credenziali (tramite VMware Aria Operations). I ricercatori hanno confermato la stessa falla in open-vm-tools, distribuito con la maggior parte delle distribuzioni Linux.
Lo sfruttamento può essere rilevato monitorando processi figli insoliti di vmtoolsd o get-versions.sh, oppure ispezionando file di script residui in /tmp/VMware-SDMP-Scripts-{UUID}/.
Nel Q1 2024, gruppi APT legati a Cina, Corea del Nord, Iran e Russia hanno mostrato tattiche di cyber-espionage sempre più avanzate e innovative, sfruttando vulnerabilità in tecnologie ampiamente utilizzate come VMware. Ad esempio, il gruppo UNC3886, nexus cinese, ha distribuito attivamente un ampio set di tecniche malevole, inclusi exploit zero-day su VMware e Fortinet, per tutto il 2024.
Lo sfruttamento in-the-wild di CVE-2025-41244 è stato attribuito a UNC5174, un gruppo sospettato di essere sponsorizzato dalla Cina, noto per utilizzare exploit pubblici durante operazioni di accesso iniziale.
Come misure di mitigazione potenziali per CVE-2025-41244, Broadcom ha rilasciato patch e raccomanda aggiornamenti immediati per minimizzare il rischio di sfruttamento. Altre raccomandazioni includono monitorare processi figli anomali di vmtoolsd o Aria SDMP, limitare l’accesso in scrittura a directory a rischio e limitare la connettività delle VM guest alle reti interne per ridurre i rischi di intrusioni.
Per aiutare le organizzazioni a identificare tempestivamente le minacce emergenti e prevenire proattivamente attacchi sofisticati, i team di sicurezza possono fare affidamento sulla suite enterprise-ready di SOC Prime, supportata da competenze di alto livello e tecnologie all’avanguardia che combinano IA, automazione e threat intelligence in tempo reale per una difesa cyber resiliente.
