{"id":11028,"date":"2025-09-30T14:17:26","date_gmt":"2025-09-30T20:17:26","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11028"},"modified":"2025-09-30T14:17:27","modified_gmt":"2025-09-30T20:17:27","slug":"alerta-2025-79-vulnerabilidad-de-zero-day-de-escalacion-de-privilegios-en-vmware","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-79-vulnerabilidad-de-zero-day-de-escalacion-de-privilegios-en-vmware\/","title":{"rendered":"Alerta 2025-79 Vulnerabilidad de Zero Day de escalaci\u00f3n de privilegios en VMWare"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>VMware Aria Operations<\/li>\n\n\n\n<li>VMware Tools<\/li>\n\n\n\n<li>VMware Cloud Foundation<\/li>\n\n\n\n<li>VMware Telco Cloud Platform<\/li>\n\n\n\n<li>VMware Telco Cloud Infrastructure<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Recientemente se ha reportado una nueva vulnerabilidad de D\u00eda Cero (Zero Day) <strong>que afecta tanto a VMware Tools <\/strong>(incluyendo open-vm-tools en Linux)<strong> como a VMware Aria Operations.<\/strong>&nbsp;Si se explota con \u00e9xito la escalada de privilegios locales, los usuarios sin privilegios pueden ejecutar c\u00f3digo en contextos privilegiados (p. ej.,&nbsp;root). La vulnerabilidad ha sido identificada como <strong>CVE-2025-41244 <\/strong>con un score CVSSv3 7.8 con criticidad Alta. Esta vulnerabilidad esta activa y est\u00e1 siendo explotada desde Octubre 2024 atribuida al grupo UNC5174.<\/p>\n\n\n\n<p>La ra\u00edz del problema es que los scripts de \u201cservice discovery\u201d pueden llegar a invocar binarios no confiables en rutas escribibles por usuarios no privilegiados durante la identificaci\u00f3n de versiones de servicios, afectando tanto el modo con credenciales (Aria Operations) como el modo sin credenciales (VMware Tools).<\/p>\n\n\n\n<p>La explotaci\u00f3n exitosa de CVE-2025-41244 puede detectarse f\u00e1cilmente mediante la monitorizaci\u00f3n de procesos secundarios poco comunes, como se muestra en los \u00e1rboles de procesos anteriores. Al tratarse de una escalada de privilegios local, el abuso de CVE-2025-41244 indica que un adversario ya ha obtenido acceso al dispositivo afectado y que&nbsp;<em>se deber\u00edan<\/em>&nbsp;haber activado otros mecanismos de detecci\u00f3n.<\/p>\n\n\n\n<p>Dado que ya hay reportes de explotaci\u00f3n activa de dicha vulnerabilidad y de PoC publicados, esto incrementar el riesgo de que dicha vulnerabilidad pueda ser utilizado en tareas post-explotaci\u00f3n, recomendamos tomar medidas al respecto lo m\u00e1s pronto posible.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Mitigaci\u00f3n:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Deshabilitar el Service Discovery Management Pack (SDMP) y\/o el \u201cservice discovery\u201d sin credenciales en entornos sensibles, y reducir la frecuencia o alcance de estos recolectores donde sea viable.<\/li>\n\n\n\n<li>Endurecer el sistema: montar <strong><em>\/tmp <\/em><\/strong>con <strong><em>noexec,nodev,nosuid;<\/em><\/strong> monitorear procesos hijo inusuales de <strong><em>vmtoolsd<\/em><\/strong> y scripts de <strong><em>get-versions.sh<\/em><\/strong><\/li>\n\n\n\n<li>Alertar sobre ejecuciones desde rutas temporales (p. ej., \/tmp\/*) y sobre procesos iniciados por VMware Tools\/Aria que llamen binarios fuera de <em>\/usr\/bin o \/usr\/sbin;<\/em><\/li>\n\n\n\n<li>Revisar artefactos bajo \/<strong><em>tmp\/VMware-SDMP-Scripts-{UUID}\/ <\/em><\/strong>en entornos sin telemetr\u00eda. Dado que es una LPE, su explotaci\u00f3n indica compromiso previo: priorizar b\u00fasqueda de actividad de acceso inicial y otras se\u00f1ales de intrusi\u00f3n.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>El equipo VMware lanz\u00f3 parche de seguridad para los diversos productos afectados, en la siguiente tabla se puede encontrar m\u00e1s informaci\u00f3n al respecto:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td>Producto<\/td><td>Version afectada<\/td><td>Version corregida<\/td><\/tr><tr><td>VMware Cloud Foundation VMware vSphere Foundation<br><br><\/td><td>9.x.x.x<\/td><td><a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vcf\/vcf-9-0-and-later\/9-0\/release-notes\/vmware-cloud-foundation-9-0-1-release-notes\/vcf-operations-9-0-1-0000.html\">9.0.1.0<\/a><\/td><\/tr><tr><td>VMware Cloud Foundation VMware vSphere Foundation &nbsp;<\/td><td>13.x.x.x&nbsp;[2]<\/td><td><a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vsphere\/tools\/13-0-0\/release-notes\/vmware-tools-1305-release-notes.html\">13.0.5.0<\/a><\/td><\/tr><tr><td>VMware Aria Operations<\/td><td>8.x<\/td><td><a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/aria\/aria-operations\/8-18\/vmware-aria-operations-8185-release-notes.html\">8.18.5<\/a><\/td><\/tr><tr><td>VMware Tools<\/td><td>13.x.x<\/td><td><a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vsphere\/tools\/13-0-0\/release-notes\/vmware-tools-1305-release-notes.html\">13.0.5<\/a><\/td><\/tr><tr><td>VMware Tools<\/td><td>12.x.x,&nbsp;11.x.x<\/td><td><a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/vsphere\/tools\/12-5-0\/release-notes\/vmware-tools-1254-release-notes.html\">12.5.4<\/a><\/td><\/tr><tr><td>VMware Cloud Foundation<\/td><td>5.x, 4.x<\/td><td><a href=\"https:\/\/knowledge.broadcom.com\/external\/article?legacyId=92148\">KB92148<\/a><\/td><\/tr><tr><td>VMware Telco Cloud Platform<\/td><td>5.x, 4.x&nbsp;<\/td><td><a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/aria\/aria-operations\/8-18\/vmware-aria-operations-8185-release-notes.html\">8.18.5<\/a><\/td><\/tr><tr><td>VMware Telco Cloud Infrastructure<\/td><td>3.x, 2.x<\/td><td><a href=\"https:\/\/techdocs.broadcom.com\/us\/en\/vmware-cis\/aria\/aria-operations\/8-18\/vmware-aria-operations-8185-release-notes.html\">8.18.5<\/a><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>https:\/\/cwe.mitre.org\/data\/definitions\/267.html<\/li>\n\n\n\n<li>https:\/\/blog.nviso.eu\/2025\/09\/29\/you-name-it-vmware-elevates-it-cve-2025-41244\/<\/li>\n\n\n\n<li>http:\/\/support.broadcom.com\/group\/ecx\/support-content-view\/-\/support-content\/Security%20Advisories\/VMSA-2025-0015&#8211;VMware-Aria-Operations-and-VMware-Tools-updates-address-multiple-vulnerabilities&#8211;CVE-2025-41244-CVE-2025-41245&#8211;CVE-2025-41246-\/36149<\/li>\n\n\n\n<li>https:\/\/support.broadcom.com\/web\/ecx\/support-content-notification\/-\/external\/content\/SecurityAdvisories\/0\/36149<\/li>\n<\/ul>\n","protected":false},"featured_media":6162,"template":"","class_list":["post-11028","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"79","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11028\/revisions"}],"predecessor-version":[{"id":11029,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11028\/revisions\/11029"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/6162"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}