مهاجمان چینی از نقص Zero-Day در VMware برای اجرای کد از راه دور سوءاستفاده کردند
شرکت Broadcom یک آسیبپذیری با شدت بالا از نوع ارتقای سطح دسترسی را در نرمافزارهای VMware Aria Operations و VMware Tools وصله کرده است؛ نقصی که از اکتبر ۲۰۲۴ در حملات روز-صفر مورد بهرهبرداری قرار گرفته بود.
اگرچه این شرکت فناوری آمریکایی در گزارش رسمی خود این آسیبپذیری با شناسه CVE-2025-41244 را بهعنوان «مورد سوءاستفاده فعال» علامتگذاری نکرد، اما از پژوهشگر امنیتی شرکت NVISO، ماکسیم تیبوت (Maxime Thiebaut) بابت کشف و گزارش آن در ماه می قدردانی کرد. با این حال، روز گذشته شرکت اروپایی NVISO افشا کرد که این نقص از اواسط اکتبر ۲۰۲۴ بهطور فعال مورد بهرهبرداری قرار گرفته و حملات به گروه تهدید UNC5174 (وابسته به دولت چین) نسبت داده میشود.
طبق توضیحات تیبوت: «برای سوءاستفاده از این آسیبپذیری، یک مهاجم محلی بدون دسترسی سطح بالا میتواند یک فایل اجرایی مخرب را در مسیرهایی که با عبارات منظم گسترده شناسایی میشوند قرار دهد. یکی از مسیرهای رایج که گروه UNC5174 در حملات واقعی استفاده کرده، مسیر /tmp/httpd است.» وی افزود: «برای آنکه فایل مخرب توسط سرویس شناسایی VMware انتخاب شود، باید توسط کاربر غیرمجاز اجرا گردد (در پروسستری ظاهر شود) و حداقل یک سوکت شنود تصادفی را باز کند.»
شرکت NVISO همچنین کد اثبات مفهومی (PoC) این آسیبپذیری را منتشر کرده است که نشان میدهد مهاجمان میتوانند از طریق آن سطح دسترسی خود را در سیستمهای آسیبپذیر ارتقا دهند. این حمله بر روی نرمافزارهای VMware Aria Operations (در حالت مبتنی بر اعتبارنامه) و VMware Tools (در حالت بدون اعتبارنامه) قابل انجام است و در نهایت امکان اجرای کد در سطح root بر روی ماشین مجازی را فراهم میکند.
سخنگوی Broadcom در پاسخ به رسانه BleepingComputer برای ارائه توضیحات بیشتر در دسترس نبود.
UNC5174 چه کسانی هستند؟
به گفته تحلیلگران امنیتی Google Mandiant، گروه UNC5174 بهعنوان پیمانکار وزارت امنیت ملی چین (MSS) فعالیت میکند. این گروه در اواخر سال ۲۰۲۳ پس از حملات موفق به آسیبپذیری F5 BIG-IP (CVE-2023-46747)، دسترسی به شبکههای پیمانکاران دفاعی آمریکا، نهادهای دولتی بریتانیا و مؤسسات آسیایی را برای فروش عرضه کرده است.
در فوریه ۲۰۲۴ نیز این گروه با بهرهبرداری از آسیبپذیری CVE-2024-1709 در ConnectWise ScreenConnect توانست صدها نهاد آمریکایی و کانادایی را هدف قرار دهد.
در ماه می ۲۰۲۵، UNC5174 به بهرهبرداری فعال از آسیبپذیری CVE-2025-31324 (نقص آپلود فایل بدون احراز هویت) مرتبط شد؛ نقصی که امکان اجرای کد از راه دور بر روی سرورهای آسیبپذیر NetWeaver Visual Composer را فراهم میکرد.
گروههای هکری چینی دیگر از جمله Chaya_004، UNC5221 و CL-STA-0048 نیز به این موج حملات پیوستند و بیش از ۵۸۰ نمونه SAP NetWeaver را آلوده کردند؛ از جمله زیرساختهای حیاتی در ایالات متحده و بریتانیا.
روز دوشنبه، Broadcom همچنین دو آسیبپذیری با شدت بالا در VMware NSX را وصله کرد که توسط آژانس امنیت ملی آمریکا (NSA) گزارش شده بود. پیشتر در ماه مارس نیز این شرکت سه آسیبپذیری روز-صفر دیگر در VMware (با شناسههای CVE-2025-22224، CVE-2025-22225 و CVE-2025-22226) را که توسط تیم اطلاعات تهدیدات Microsoft گزارش شده بودند، رفع کرده بود.
