Vulnérabilité CVE-2025-41244 : Zero-Day VMware Tools et Aria exploité pour escalade de privilèges
À peine la vulnérabilité critique CVE-2025-20352 dans Cisco IOS et IOS XE, activement exploitée dans la nature, révélée, le paysage des cybermenaces est de nouveau secoué par un autre zero-day. Suivie sous l’identifiant CVE-2025-41244, cette vulnérabilité nouvellement exploitée affecte VMware Tools et VMware Aria Operations, permettant une élévation de privilèges locale et autorisant des utilisateurs non privilégiés à exécuter du code avec les droits root sur les systèmes impactés.
En 2025, la gestion des vulnérabilités est devenue une priorité mondiale essentielle, les organisations devant faire face à l’escalade des risques cybersécuritaires. Plus de 35 000 vulnérabilités ont été divulguées dans le monde, soit une hausse de 21 % par rapport à l’année précédente, accentuant la pression sur les équipes de sécurité pour rester à jour. L’exploitation restant le vecteur principal d’attaque et les acteurs de menace adoptant des méthodes toujours plus sophistiquées, la détection proactive est cruciale pour réduire la surface d’attaque.
La facilité d’exploitation de ce zero-day récemment identifié dans VMware Tools et Aria (CVE-2025-41244) souligne l’importance critique d’un patch rapide, d’une surveillance rigoureuse des processus et du renforcement des environnements VM invités afin de se défendre contre des menaces zero-day comparables.
Inscrivez-vous à la plateforme SOC Prime pour bénéficier d’une expertise cybersécurité de pointe et de l’IA pour une défense cyber prête pour l’entreprise. La plateforme SOC Prime propose des détections sélectionnées et enrichies de contexte pour aider les organisations à surmonter toute menace, y compris le nombre croissant de vulnérabilités zero-day affectant les logiciels largement utilisés. Cliquez sur le bouton Explorer les Détections ci-dessous pour accéder instantanément à la collection complète de règles Sigma pertinentes filtrées par le tag “CVE”, afin de prévenir les attaques exploitant des vulnérabilités connues et émergentes.
Les algorithmes de détection mentionnés ci-dessus, traitant les tentatives d’exploitation de vulnérabilités, sont mappés à MITRE ATT&CK® et renforcés avec l’intelligence artificielle native pour fournir un contexte approfondi sur les menaces cyber et accélérer la recherche sur les menaces. Les règles Sigma peuvent être automatiquement converties en plusieurs formats SIEM, EDR et Data Lake, rationalisant le processus d’ingénierie de détection tout en augmentant la productivité des équipes.
Avec Uncoder AI, copilote IA et IDE pour l’ingénierie de détection, les équipes de sécurité peuvent convertir les informations brutes des rapports en requêtes IOC personnalisées, visualiser les flux d’attaque, obtenir des résumés concis ou des arbres de décision, optimiser les stratégies de détection grâce au code tagué ML ATT&CK® et l’auto-complétion illimitée, ou améliorer les requêtes dans leur langue natale via l’IA. La dernière version d’Uncoder AI propose un mode chatbot IA et des outils MCP pour aider les experts en sécurité à gérer l’ingénierie de détection de bout en bout.
Analyse de CVE-2025-41244
Les défenseurs ont observé une nouvelle vulnérabilité zero-day d’élévation de privilèges locale dans VMware Tools et VMware Aria Operations, activement exploitée dans des attaques en conditions réelles. La faille critique, suivie sous CVE-2025-41244 (score CVSS 7,8), impacte le Service Discovery Management Pack (SDMP) de VMware Tools et VMware Aria Operations, permettant aux utilisateurs non privilégiés d’exécuter du code arbitraire avec des privilèges root.
Les chercheurs de NVISO ont identifié la cause dans une faiblesse du chemin de recherche non sécurisé (CWE-426) du script get-versions.sh, utilisant des expressions régulières trop larges pour localiser les binaires de services. Un attaquant peut placer un binaire malveillant dans un répertoire en écriture (ex. /tmp/httpd), que le processus de découverte de services VMware exécute ensuite avec des privilèges élevés, accordant un accès root complet.
La vulnérabilité affecte à la fois la découverte sans identifiants (via VMware Tools sur les VM invitées) et la découverte basée sur identifiants (via VMware Aria Operations). Les chercheurs ont confirmé la même faille dans open-vm-tools, présent dans la plupart des distributions Linux.
L’exploitation peut être détectée en surveillant les processus enfants inhabituels de vmtoolsd ou get-versions.sh, ou en inspectant les fichiers scripts restants dans /tmp/VMware-SDMP-Scripts-{UUID}/.
Au premier trimestre 2024, des groupes APT liés à la Chine, la Corée du Nord, l’Iran et la Russie ont démontré des tactiques de cyberespionnage de plus en plus avancées et innovantes, exploitant des vulnérabilités dans des technologies largement utilisées comme VMware. Par exemple, le groupe UNC3886, de nexus chinois, a activement déployé un vaste ensemble de techniques malveillantes incluant des exploits zero-day VMware et Fortinet tout au long de 2024.
L’exploitation continue en conditions réelles de CVE-2025-41244 est attribuée à UNC5174, un groupe suspecté d’être soutenu par la Chine, connu pour utiliser des exploits publics lors d’opérations d’accès initial.
Comme mesures d’atténuation potentielles pour CVE-2025-41244, Broadcom a publié des correctifs et recommande des mises à jour immédiates pour réduire le risque d’exploitation. Les recommandations supplémentaires incluent la surveillance des processus enfants anormaux de vmtoolsd ou d’Aria SDMP, la restriction des droits d’écriture sur les répertoires à risque et la limitation de la connectivité des VM invitées aux réseaux internes afin de réduire l’exposition aux intrusions.
Pour aider les organisations à détecter en temps utile les menaces émergentes et à contrer de manière proactive des attaques sophistiquées, les équipes de sécurité peuvent s’appuyer sur le portefeuille produit entreprise de SOC Prime, soutenu par une expertise de pointe et des technologies avancées combinant IA, automatisation et renseignement sur les menaces en temps réel pour une défense cyber résiliente.
