Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Năm đã bổ sung một lỗ hổng bảo mật mức độ nghiêm trọng cao ảnh hưởng đến Broadcom VMware Tools và VMware Aria Operations vào danh mục Known Exploited Vulnerabilities (KEV) của mình, sau các báo cáo về việc khai thác tích cực đang diễn ra trong thực tế.
Lỗ hổng được đề cập là CVE-2025-41244 (điểm CVSS: 7.8), có thể bị kẻ tấn công khai thác để đạt được đặc quyền cấp độ root trên một hệ thống dễ bị tổn thương.
"Broadcom VMware Aria Operations và VMware Tools chứa một lỗ hổng đặc quyền được định nghĩa với các hành động không an toàn," CISA cho biết trong một cảnh báo. "Một tác nhân độc hại cục bộ với đặc quyền không phải quản trị viên có quyền truy cập vào một VM đã cài đặt VMware Tools và được quản lý bởi Aria Operations với SDMP được bật, có thể khai thác lỗ hổng này để leo thang đặc quyền lên root trên cùng một VM."
Lỗ hổng đã được VMware thuộc sở hữu của Broadcom khắc phục vào tháng trước, nhưng trước đó đã bị các threat actor không xác định khai thác như một zero-day kể từ giữa tháng 10 năm 2024, theo NVISO Labs. Công ty an ninh mạng này cho biết họ đã phát hiện ra lỗ hổng này vào đầu tháng 5 vừa qua trong một cuộc ứng phó sự cố.
Hoạt động này được quy cho một threat actor liên kết với Trung Quốc mà Google Mandiant theo dõi dưới tên UNC5174, với NVISO Labs mô tả lỗ hổng này là dễ dàng khai thác. Chi tiết về payload chính xác được thực thi sau khi vũ khí hóa CVE-2025-41244 hiện đang được giữ kín.
"Khi thành công, việc khai thác privilege escalation cục bộ sẽ khiến người dùng không có đặc quyền đạt được code execution trong các ngữ cảnh đặc quyền (ví dụ: root)," nhà nghiên cứu bảo mật Maxime Thiebaut cho biết. "Tuy nhiên, chúng tôi không thể đánh giá liệu exploit này có phải là một phần trong khả năng của UNC5174 hay việc sử dụng zero-day chỉ là ngẫu nhiên do tính tầm thường của nó."
Cũng được đưa vào danh mục KEV là một lỗ hổng eval injection nghiêm trọng trong XWiki có thể cho phép bất kỳ người dùng khách nào thực hiện remote code execution tùy ý thông qua một yêu cầu được tạo đặc biệt đến endpoint "/bin/get/Main/SolrSearch". Đầu tuần này, VulnCheck tiết lộ rằng họ đã quan sát thấy các threat actor không xác định cố gắng khai thác lỗ hổng này và phát tán một cryptocurrency miner.
Các cơ quan Federal Civilian Executive Branch (FCEB) được yêu cầu áp dụng các biện pháp giảm thiểu cần thiết trước ngày 20 tháng 11 năm 2025, để bảo mật mạng lưới của họ chống lại các mối đe dọa đang hoạt động.
