مهاجمان چینی از نقص Zero-Day در VMware برای اجرای کد از راه دور سوءاستفاده کردند

سجاد تیموری 3 هفته پیشآخرین بروزرسانی: مهر ۸, ۱۴۰۴

۰ 5 زمان تقریبی مطالعه 2 دقیقه

مهاجمان چینی از نقص Zero-Day در VMware برای اجرای کد از راه دور سوءاستفاده کردند

شرکت Broadcom یک آسیب‌پذیری با شدت بالا از نوع ارتقای سطح دسترسی را در نرم‌افزارهای VMware Aria Operations و VMware Tools وصله کرده است؛ نقصی که از اکتبر ۲۰۲۴ در حملات روز-صفر مورد بهره‌برداری قرار گرفته بود.

اگرچه این شرکت فناوری آمریکایی در گزارش رسمی خود این آسیب‌پذیری با شناسه CVE-2025-41244 را به‌عنوان «مورد سوءاستفاده فعال» علامت‌گذاری نکرد، اما از پژوهشگر امنیتی شرکت NVISO، ماکسیم تیبوت (Maxime Thiebaut) بابت کشف و گزارش آن در ماه می قدردانی کرد. با این حال، روز گذشته شرکت اروپایی NVISO افشا کرد که این نقص از اواسط اکتبر ۲۰۲۴ به‌طور فعال مورد بهره‌برداری قرار گرفته و حملات به گروه تهدید UNC5174 (وابسته به دولت چین) نسبت داده می‌شود.

طبق توضیحات تیبوت: «برای سوءاستفاده از این آسیب‌پذیری، یک مهاجم محلی بدون دسترسی سطح بالا می‌تواند یک فایل اجرایی مخرب را در مسیرهایی که با عبارات منظم گسترده شناسایی می‌شوند قرار دهد. یکی از مسیرهای رایج که گروه UNC5174 در حملات واقعی استفاده کرده، مسیر /tmp/httpd است.» وی افزود: «برای آن‌که فایل مخرب توسط سرویس شناسایی VMware انتخاب شود، باید توسط کاربر غیرمجاز اجرا گردد (در پروسس‌تری ظاهر شود) و حداقل یک سوکت شنود تصادفی را باز کند.»

شرکت NVISO همچنین کد اثبات مفهومی (PoC) این آسیب‌پذیری را منتشر کرده است که نشان می‌دهد مهاجمان می‌توانند از طریق آن سطح دسترسی خود را در سیستم‌های آسیب‌پذیر ارتقا دهند. این حمله بر روی نرم‌افزارهای VMware Aria Operations (در حالت مبتنی بر اعتبارنامه) و VMware Tools (در حالت بدون اعتبارنامه) قابل انجام است و در نهایت امکان اجرای کد در سطح root بر روی ماشین مجازی را فراهم می‌کند.

سخنگوی Broadcom در پاسخ به رسانه BleepingComputer برای ارائه توضیحات بیشتر در دسترس نبود.

UNC5174 چه کسانی هستند؟

به گفته تحلیلگران امنیتی Google Mandiant، گروه UNC5174 به‌عنوان پیمانکار وزارت امنیت ملی چین (MSS) فعالیت می‌کند. این گروه در اواخر سال ۲۰۲۳ پس از حملات موفق به آسیب‌پذیری F5 BIG-IP (CVE-2023-46747)، دسترسی به شبکه‌های پیمانکاران دفاعی آمریکا، نهادهای دولتی بریتانیا و مؤسسات آسیایی را برای فروش عرضه کرده است.

در فوریه ۲۰۲۴ نیز این گروه با بهره‌برداری از آسیب‌پذیری CVE-2024-1709 در ConnectWise ScreenConnect توانست صدها نهاد آمریکایی و کانادایی را هدف قرار دهد.

در ماه می ۲۰۲۵، UNC5174 به بهره‌برداری فعال از آسیب‌پذیری CVE-2025-31324 (نقص آپلود فایل بدون احراز هویت) مرتبط شد؛ نقصی که امکان اجرای کد از راه دور بر روی سرورهای آسیب‌پذیر NetWeaver Visual Composer را فراهم می‌کرد.

گروه‌های هکری چینی دیگر از جمله Chaya_004، UNC5221 و CL-STA-0048 نیز به این موج حملات پیوستند و بیش از ۵۸۰ نمونه SAP NetWeaver را آلوده کردند؛ از جمله زیرساخت‌های حیاتی در ایالات متحده و بریتانیا.

روز دوشنبه، Broadcom همچنین دو آسیب‌پذیری با شدت بالا در VMware NSX را وصله کرد که توسط آژانس امنیت ملی آمریکا (NSA) گزارش شده بود. پیش‌تر در ماه مارس نیز این شرکت سه آسیب‌پذیری روز-صفر دیگر در VMware (با شناسه‌های CVE-2025-22224، CVE-2025-22225 و CVE-2025-22226) را که توسط تیم اطلاعات تهدیدات Microsoft گزارش شده بودند، رفع کرده بود.