Broadcom попередила про критичні уразливості у VMware, які дозволяли хакерам підвищувати привілеї до адміністратора. Дослідники з NVISO виявили, що пов’язані з Китаєм групи могли непомітно використовувати ці баги ще з жовтня 2024 року.
Уразливості торкнулися VMware Aria Operations, VMware Tools та суміжних продуктів. Проблема полягала у механізмі Service Discovery, який автоматично запускає програми для перевірки їхньої версії. Атакувальники могли підмінити легітимний сервіс підробленим файлом у відкритих директоріях, після чого VMware виконувала його з правами root. Це відкривало шлях до повного контролю над віртуальною машиною: встановлення бекдорів, викрадення даних і руху мережею.
Broadcom оцінила баги як «важливі» з максимальною оцінкою 7.8/10. Виправлення вже доступні, але обхідних рішень немає — патчинг єдиний спосіб захисту.
NVISO пов’язує експлуатацію з угрупованням UNC5174, яке діє під китайським керівництвом. Ознаки використання багів з’явилися у розслідуваннях інцидентів ще в жовтні 2024 року. Дослідники вказують, що частина шкідливих програм випадково користувалася підвищенням привілеїв роками, а хакери лише адаптували техніку. У травні 2025-го проблему вперше офіційно розкрили Broadcom.
Адміністраторам VMware необхідно негайно оновити Aria Operations і VMware Tools, провести ревізію підозрілих процесів та перевірити журнали на ознаки експлуатації. Інцидент показує: навіть базові функції моніторингу у критично важливому софті можуть перетворитися на інструмент повного захоплення системи.
