CVE-2025-41244

Broadcom VMware Aria Operations and VMware Tools

ВЕРОЯТНОСТЬ 0.4%
Дата обнаружения

2025-10-30

Официальное описание

Broadcom VMware Aria Operations and VMware Tools contain a privilege defined with unsafe actions vulnerability. A malicious local actor with non-administrative privileges having access to a VM with VMware Tools installed and managed by Aria Operations with SDMP enabled may exploit this vulnerability to escalate privileges to root on the same VM.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-41244 представляет собой локальное повышение привилегий (Local Privilege Escalation, LPE) в гостевых операционных системах. Проблема кроется в небезопасном определении привилегий при выполнении действий компонентом Service Discovery Management Pack (SDMP). Для успешной эксплуатации должны выполняться следующие условия: - На виртуальной машине установлены VMware Tools. - Виртуальная машина управляется через VMware Aria Operations. - Включена функция SDMP (Service Discovery Management Pack / Application Discovery). - У злоумышленника уже есть локальный доступ к гостевой ОС с базовыми (не административными) правами. В результате успешной атаки злоумышленник может повысить свои права до уровня root (или SYSTEM) на скомпрометированной виртуальной машине, получив полный контроль над гостевой ОС.

Как исправить

Единственным надежным способом устранения уязвимости является установка официальных исправлений безопасности от Broadcom. - Проведите аудит инфраструктуры и выявите все виртуальные машины, управляемые Aria Operations с включенным SDMP. - Проверьте текущую версию VMware Tools на гостевых ОС (Linux):

vmware-toolbox-cmd -v
  • Проверьте текущую версию VMware Tools на гостевых ОС (Windows):
Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -match "VMware Tools"} | Select-Object Version
  • Загрузите актуальные патчи для VMware Aria Operations и VMware Tools с официального портала Broadcom Support.
  • Обновите кластер VMware Aria Operations до безопасной версии согласно официальной документации.
  • Обновите VMware Tools на всех затронутых виртуальных машинах.
  • После обновления VMware Tools на Linux перезапустите службу для применения изменений:
systemctl restart vmtoolsd
  • На Windows после обновления VMware Tools выполните перезагрузку гостевой ОС.

Временные меры

Если оперативная установка обновлений невозможна, необходимо отключить уязвимый компонент (SDMP), чтобы разорвать вектор атаки. - Централизованное отключение через интерфейс VMware Aria Operations (рекомендуемый метод): - Авторизуйтесь в веб-интерфейсе VMware Aria Operations с правами администратора. - Перейдите в раздел Data Sources -> Integrations. - Выберите учетную запись vCenter Server, которая управляет целевыми ВМ, и нажмите Edit. - Разверните раздел Advanced Settings. - Найдите параметр Service Discovery (или Application Discovery) и переведите его в состояние Disable. - Сохраните изменения и дождитесь применения политик. - Локальное отключение плагина Service Discovery в VMware Tools на Linux (если централизованное управление временно недоступно):

vmware-toolbox-cmd plugin disable serviceDiscovery
  • Локальное отключение плагина Service Discovery в VMware Tools на Windows:
& "C:\Program Files\VMware\VMware Tools\vmware-toolbox-cmd.exe" plugin disable serviceDiscovery
  • Проверка статуса плагина после отключения (Linux):
vmware-toolbox-cmd plugin status serviceDiscovery
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей