CVE-2025-41244 취약점: 권한 상승 위해 VMware Tools 및 Aria 제로데이 공격
CVE-2025-20352라는, 실제 환경에서 활발히 악용되는 심각한 Cisco IOS 및 IOS XE 결함에 이어, 사이버 위협 지형은 또 다른 제로데이에 의해 다시 흔들리고 있습니다. CVE-2025-41244로 추적되는 이 새로 무기화된 취약점은 VMware Tools 및 VMware Aria Operations에 영향을 미치며, 로컬 권한 상승을 허용하고, 권한이 없는 사용자가 영향을 받은 시스템에서 root 권한으로 코드를 실행할 수 있도록 합니다.
2025년 현재, 취약점 관리는 조직들이 증가하는 사이버보안 위험에 대응하면서 전 세계적인 핵심 우선순위로 부상했습니다. 전 세계적으로 35,000건이 넘는 취약점이 공개되었으며 이는 전년 대비 21% 증가한 수치로, 보안팀이 속도를 유지해야 하는 압박은 더욱 커졌습니다. 악용이 주요 공격 벡터로 남아 있고 위협 행위자들이 점점 더 정교한 수법을 채택함에 따라, 공격 표면을 줄이기 위한 사전적 탐지가 필수적입니다.
이번에 확인된 VMware Tools 및 Aria 제로데이(CVE-2025-41244)의 쉬운 악용 가능성은 신속한 패치 적용, 엄격한 프로세스 모니터링 및 게스트 VM 환경 강화의 중요성을 부각합니다. 이러한 조치는 유사한 제로데이 위협에 대한 방어력을 높이는 데 필수적입니다.
SOC Prime 플랫폼에 등록하여 엔터프라이즈급 사이버 방어를 위한 최고 수준의 사이버보안 전문지식과 AI 기능을 활용해 보세요. SOC Prime 플랫폼은 널리 사용되는 소프트웨어에 영향을 미치는 제로데이를 포함한 모든 수준의 정교한 위협을 대응할 수 있도록 컨텍스트가 풍부한 선별된 탐지들을 제공합니다. 아래의 탐지 탐색(Explore Detections) 버튼을 클릭하면 “CVE” 태그로 필터링된 관련 Sigma 규칙의 포괄적 컬렉션에 즉시 접근하여, 알려진 및 신규 취약점을 악용하는 공격을 사전 차단할 수 있습니다.
위에서 언급한 취약점 악용 탐지 알고리즘은 MITRE ATT&CK®에 매핑되어 있으며, AI 기반 위협 인텔리전스로 강화되어 심층적 사이버 위협 컨텍스트를 제공하고 위협 리서치를 가속화합니다. Sigma 규칙은 자동으로 여러 SIEM, EDR, Data Lake 형식으로 변환될 수 있어 탐지 엔지니어링 프로세스를 간소화하고 팀의 생산성을 향상시킵니다.
Uncoder AI는 탐지 엔지니어링을 위한 AI 코파일럿이자 IDE로서, 보안팀이 리포트의 원시 위협 인텔리전스를 맞춤형 IOC 쿼리로 변환하고 공격 플로우를 시각화하며 간결한 요약 또는 의사결정 트리를 생성할 수 있도록 돕습니다. 또한 ATT&CK® 기반 ML 코드 태깅과 무제한 자동완성으로 탐지 전략을 가속화하거나 AI로 네이티브 언어 쿼리를 최적화할 수 있습니다. 최신 버전의 Uncoder AI는 AI 챗봇 모드와 MCP 도구를 제공하여 탐지 엔지니어링 작업을 엔드투엔드로 지원합니다.
CVE-2025-41244 분석
방어자들은 VMware Tools 및 VMware Aria Operations에서 새로운 로컬 권한 상승 제로데이 취약점이 관측되었으며, 이는 실제 공격에서 적극적으로 악용되고 있음을 확인했습니다. 이 치명적인 결함은 CVE-2025-41244 (CVSS 점수 7.8)로 추적되며, VMware Tools 및 VMware Aria Operations의 Service Discovery Management Pack(SDMP)에 영향을 주어 권한이 없는 사용자가 root 권한으로 임의 코드를 실행할 수 있도록 합니다.
NVISO 연구진은 이 문제의 원인을 get-versions.sh 스크립트의 Untrusted Search Path 약점(CWE-426)으로 추적했습니다. 해당 스크립트는 서비스 바이너리를 찾기 위해 지나치게 광범위한 정규식(regex) 패턴을 사용합니다. 공격자는 쓰기 가능한 디렉터리(예: /tmp/httpd)에 악성 바이너리를 배치할 수 있으며, VMware의 서비스 디스커버리 프로세스가 이를 권한 상승 상태로 실행하여 완전한 root 접근 권한을 획득하게 됩니다.
이 취약점은 자격 증명 없는 디스커버리(게스트 VM의 VMware Tools를 통해)와 기존의 자격 증명 기반 디스커버리(VMware Aria Operations를 통해) 모두에 영향을 미칩니다. 연구진은 대부분의 리눅스 배포판에 포함된 open-vm-tools에서도 동일한 결함을 확인했습니다.
악용 활동은 vmtoolsd 또는 get-versions.sh에서 발생하는 비정상적인 자식 프로세스를 모니터링하거나, /tmp/VMware-SDMP-Scripts-{UUID}/에 남아 있는 스크립트 파일을 검사함으로써 탐지할 수 있습니다.
2024년 1분기 동안 중국, 북한, 이란 및 러시아와 연계된 APT 그룹들은 VMware와 같은 널리 사용되는 기술의 취약점을 악용하는 사이버 스파이 활동에서 점점 더 정교하고 혁신적인 전술을 선보였습니다. 예를 들어, 중국 계열 UNC3886 그룹은 2024년 동안 VMware 및 Fortinet의 제로데이를 포함한 광범위한 악성 툴킷을 활발히 배포해 왔습니다.
CVE-2025-41244의 실환경(인 더 와일드)에서의 지속적 악용은 공개된 익스플로잇을 초기 접근에 활용하는 것으로 알려진, 중국 후원 의혹의 UNC5174 그룹에 의해 수행된 것으로 귀속되고 있습니다.
CVE-2025-41244에 대한 잠재적 완화 조치로서 Broadcom이 패치를 배포했으며, 취약점 악용 위험을 최소화하기 위해 즉각적인 업데이트 적용을 권고합니다. 추가 권고사항에는 vmtoolsd 또는 Aria SDMP의 비정상 자식 프로세스 모니터링, 위험 디렉터리에 대한 쓰기 권한 제한, 게스트 VM의 네트워크 접근을 내부 네트워크로 제한하여 침투 위험을 줄이는 조치 등이 포함됩니다.
조직이 신속하게 신흥 위협을 식별하고 고급 공격을 사전 차단할 수 있도록, 보안팀은 AI, 자동화 및 실시간 위협 인텔리전스를 결합한 최첨단 기술과 전문성을 제공하는 SOC Prime의 엔터프라이즈 제품군을 신뢰할 수 있습니다.
