Lỗ hổng nguy hiểm trong VMware Fusion cho phép kẻ tấn công chiếm quyền root
Broadcom vừa phát hành bản cập nhật bảo mật cho sản phẩm VMware Fusion nhằm khắc phục một lỗ hổng nghiêm trọng mới, cho phép kẻ tấn công nội bộ lợi dụng và chiếm quyền lên mức root trên hệ thống bị ảnh hưởng.
Thông tin chi tiết
Định danh lỗ hổng: CVE-2026-41702
Điểm CVSS (3.1): 7.8
Mức độ nghiêm trọng: HIGH - Nghiêm trọng cao
Mô tả: Lỗ hổng TOCTOU (Time-of-check Time-of-use) xảy ra ở quá trình thực thi của một SETUID binary trong VMware Fusion, cho phép kẻ tấn công có quyền người dùng cục bộ không có đặc quyền quản trị leo thang lên quyền root trên hệ thống cài đặt Fusion.
Phiên bản bị ảnh hưởng: VMware Fusion 25H2
VMware Fusion là phần mềm ảo hóa (hypervisor) của VMware dành riêng cho hệ điều hành macOS, cho phép người dùng chạy đồng thời nhiều hệ điều hành khác nhau (Windows, Linux,...) ngay trên máy Mac mà không cần phần cứng riêng biệt. Đây là công cụ được sử dụng rộng rãi bởi các lập trình viên, kỹ sư IT và chuyên gia bảo mật để xây dựng, kiểm thử và nghiên cứu trong môi trường ảo hóa biệt lập.
Trong hệ thống Unix/Linux (bao gồm macOS), cơ chế SETUID (Set User ID) cho phép một tệp thực thi chạy với quyền của chủ sở hữu tệp đó thay vì quyền của người dùng đang chạy lệnh – thường được áp dụng để thực hiện các tác vụ đặc quyền có kiểm soát. VMware Fusion sử dụng cơ chế này trong một số thao tác nội bộ, và chính tại đây lỗ hổng được phát hiện.
Lỗi TOCTOU (Time-of-check Time-of-use) xảy ra khi một chương trình kiểm tra trạng thái của một tài nguyên (ví dụ: quyền truy cập file) tại thời điểm A, nhưng lại sử dụng tài nguyên đó tại thời điểm B – và khoảng thời gian giữa hai thao tác này tạo ra một "cửa sổ cơ hội" mà kẻ tấn công có thể lợi dụng để thay thế hoặc thao túng tài nguyên đó trước khi thao tác thực sự diễn ra.
Trong trường hợp CVE-2026-41702, lỗi tồn tại trong một SETUID binary của VMware Fusion trên macOS. Kẻ tấn công với quyền người dùng thông thường (non-administrative) trên máy tính đã cài đặt Fusion có thể khai thác khoảng thời gian giữa thao tác kiểm tra và sử dụng để can thiệp vào luồng thực thi, từ đó leo thang đặc quyền lên mức root – mức quyền cao nhất trên hệ thống macOS. Điều này đồng nghĩa với việc một tài khoản người dùng bị xâm phạm hoặc một nội gián nội bộ có thể nhanh chóng giành toàn quyền kiểm soát máy tính mục tiêu.
Đáng chú ý, lỗ hổng này không thể khai thác từ xa – kẻ tấn công bắt buộc phải có quyền truy cập cục bộ vào hệ thống. Tuy nhiên, trong các môi trường doanh nghiệp có nhiều người dùng chia sẻ tài nguyên hoặc trường hợp hệ thống đã bị xâm nhập ở mức quyền thấp, đây vẫn là đòn bẩy cực kỳ nguy hiểm để leo thang tấn công toàn diện.
Khắc phục & Khuyến nghị
Mặc dù hiện chưa có ghi nhận về việc CVE-2026-41702 bị khai thác trên thực tế, tuy nhiên do phạm vi sử dụng rộng rãi của VMware Fusion trong cộng đồng lập trình viên và IT là cực kỳ lớn, do đó lỗ hổng này vẫn cần được khắc phục trong thời gian sớm nhất. Đội ngũ FPT Threat Intelligence khuyến nghị:
Cập nhật bản vá ngay lập tức: Nâng cấp VMware Fusion lên phiên bản 26H1. Đây là biện pháp duy nhất để khắc phục triệt để lỗ hổng này – Broadcom xác nhận không có workaround thay thế.
Kiểm soát quyền truy cập cục bộ: Rà soát và hạn chế số lượng tài khoản có quyền truy cập vật lý hoặc từ xa vào các máy tính cài đặt VMware Fusion, đặc biệt trong môi trường chia sẻ hoặc phòng lab.
Giám sát hệ thống 24/7: Sử dụng, triển khai các công cụ giám sát nhằm phát hiện sớm các hành vi bất thường liên quan đến leo thang đặc quyền (privilege escalation) trên hệ thống sử dụng VMware Fusion nhằm kịp thời phản ứng nếu có dấu hiệu khai thác.
Đánh giá rủi ro insider threat Đối với các tổ chức có môi trường làm việc với nhiều người dùng trên cùng thiết bị, cần cân nhắc mức độ tin cậy của các tài khoản cục bộ và áp dụng nguyên tắc đặc quyền tối thiểu (principle of least privilege).
