Segundo um agência de cibersegurança americana CISA, empreendedores estão explorando uma vulnerabilidade no VMware Aria Operations e no VMware Tools, para qual uma atualização de segurança foi lançada no mês passado. A empresa de segurança Nviso já havia declarado que a vulnerabilidade vinha sendo explorada em ataques há um ano. A Broadcom descreve o Aria Operations como o “centro de controle de toda a infraestrutura de TI”. Ele é usado, entre outras coisas, para monitorar ambientes VMware e multicloud.
A vulnerabilidade (CVE-2025-41244) permite que um usuário local sem privilégios de administrador de uma máquina virtual (VM) execute código como root na mesma VM. A Nviso descobriu o CVE-2025-41244 em maio passado, enquanto investigava um ataque realizado por um grupo de invasores conhecido como UNC5174. O problema foi relatado à Broadcom ainda naquele mês, que lançou atualizações de segurança em 29 de setembro.
Em seu boletim de segurança, a Broadcom inicialmente não aborda a exploração ativa da vulnerabilidade. A Nviso afirmou que os atacantes vieram explorando a vulnerabilidade desde meados de outubro de 2024. A Broadcom agora adicionou ao boletim de segurança a informação de que dados recebidos diminuíram que a exploração da vulnerabilidade CVE-2025-41244 ocorreu em ataques reais. Diversas empresas identificaram o grupo de atacantes UNC5174 como afiliado à China.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna dos EUA tentou que as agências federais instalassem uma atualização do VMware até 20 de novembro.
