Jeudi, la CISA a averti les agences gouvernementales américaines de sécuriser leurs systèmes contre les attaques exploitant une vulnérabilité de gravité élevée dans les logiciels VMware Aria Operations et VMware Tools de Broadcom.
Suivie sous le numéro CVE-2025-41244 et corrigée il y a un mois, cette vulnérabilité permet aux attaquants locaux disposant de privilèges non administratifs sur une machine virtuelle (VM) avec VMware Tools et gérés par Aria Operations avec SDMP activé d’augmenter les privilèges de root sur la même machine virtuelle.
CISA a ajouté la faille à son catalogue de vulnérabilités exploitées connues, qui répertorie les bogues de sécurité que l’agence de cybersécurité a signalés comme exploités à l’état sauvage. Les agences de l’Exécutif civil fédéral (FCEB) ont désormais trois semaines, jusqu’au 20 novembre, pour patcher leurs systèmes contre les attaques en cours, comme le prescrit la Directive opérationnelle contraignante (BOD) 22-01 publiée en novembre 2021.
Les agences FCEB sont des agences non militaires au sein de la branche exécutive des États-Unis, y compris le Département de la Sécurité intérieure, le Département de l’Énergie, le Département du Trésor et le Département de la Santé et des Services sociaux.
Alors que la DBO 22-01 ne s’applique qu’aux agences fédérales, la CISA a exhorté toutes les organisations à donner la priorité à la correction de cette vulnérabilité dès que possible.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti la CISA. « Appliquez des mesures d’atténuation conformément aux instructions du fournisseur, suivez les directives applicables de la DBO 22-01 pour les services cloud ou arrêtez d’utiliser le produit si les mesures d’atténuation ne sont pas disponibles. »
Exploité dans des attaques depuis octobre dernier
Broadcom a signalé que CVE-2025-41244 était exploité à l’état sauvage aujourd’hui, un mois après que Maxime Thiebaut de la société européenne de cybersécurité NVISO a signalé que l’acteur menaçant parrainé par l’État chinois UNC5174 en abusait dans des attaques depuis la mi-octobre 2024.
À l’époque, Thiebaut a également publié un code de validation de principe démontrant comment CVE-2025-41244 peut être exploité pour augmenter les privilèges sur les systèmes exécutant des opérations VMware Aria vulnérables (en mode basé sur les informations d’identification) et VMware Tools (en mode sans informations d’identification), permettant finalement aux attaquants d’obtenir une exécution de code au niveau racine sur la machine virtuelle.
Les analystes de la sécurité de Google Mandiant, qui ont étiqueté UNC5174 en tant que contractant pour le ministère chinois de la Sécurité d’État (MSS), ont observé l’acteur menaçant vendre l’accès aux réseaux d’entrepreneurs de la défense américains, d’entités gouvernementales britanniques et d’institutions asiatiques fin 2023, à la suite d’attaques exploitant une vulnérabilité d’exécution de code à distance F5 BIG-IP (CVE-2023-46747).
En février 2024, UNC5174 a également exploité une faille ConnectWise ScreenConnect (CVE-2024-1709) pour violer des centaines d’institutions américaines et canadiennes, et a été liée en mai à des attaques exploitant une faille de téléchargement de fichiers non authentifiée NetWeaver (CVE-2025-31324) qui permet aux attaquants d’obtenir l’exécution de code à distance sur des serveurs NetWeaver Visual Composer non corrigés.
Depuis le début de l’année, Broadcom a corrigé trois autres bogues VMware zero-day activement exploités (CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226) signalés par le Microsoft Threat Intelligence Center et a publié des correctifs de sécurité pour résoudre deux vulnérabilités VMware NSX de gravité élevée (CVE-2025-41251 et CVE-2025-41252) signalées par la Sécurité nationale des États-Unis Agence (NSA).