Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Lỗ Hổng Zero-Day CVE-2025-41244 Trong VMware Tools: Rủi Ro Nâng Quyền Trên Hệ Thống Ảo Hóa

Updated
6 min read
Lỗ Hổng Zero-Day CVE-2025-41244 Trong VMware Tools: Rủi Ro Nâng Quyền Trên Hệ Thống Ảo Hóa
N
Nguyễn Văn Trung
Part of seriesNewsletters

Trong thế giới ảo hóa ngày nay, VMware là một trong những nền tảng hàng đầu được các doanh nghiệp sử dụng để quản lý máy ảo (VM).Một lỗ hổng zero-day nghiêm trọng vừa được công bố: CVE-2025-41244, được khai thác trong thực tế từ giữa tháng 10/2024, cho phép kẻ tấn công nâng quyền truy cập cục bộ lên mức root, đe dọa toàn bộ hệ thống.

Tổng Quan

CVE-2025-41244 là một lỗ hổng nâng quyền truy cập cục bộ (local privilege escalation) trong VMware Tools và VMware Aria Operations. Nó được phân loại theo CWE-426 (Untrusted Search Path), nghĩa là hệ thống tìm kiếm và thực thi các file nhị phân không đáng tin cậy từ các đường dẫn có thể bị ghi đè bởi người dùng thông thường.

Cụ thể, lỗ hổng nằm trong script shell get-versions.sh của open-vm-tools – phiên bản mã nguồn mở của VMware Tools, được tích hợp sẵn trên hầu hết các bản phân phối Linux lớn như Ubuntu, CentOS hay Red Hat. Script này chịu trách nhiệm "phát hiện dịch vụ" (service discovery), quét và xác định phiên bản của các dịch vụ chạy trên máy ảo, chẳng hạn như Apache HTTP Server (httpd). Để làm điều này, script sử dụng các biểu thức chính quy (regex) quá rộng, ví dụ: /\S+/(httpd-prefork|httpd|httpd2-prefork)($|\s), cho phép nó khớp với bất kỳ file nào có tên tương tự, ngay cả khi chúng nằm trong thư mục có thể ghi được như /tmp.

Theo đánh giá của Broadcom (chủ sở hữu VMware), lỗ hổng này có mức độ nghiêm trọng cao (high-severity), mặc dù điểm CVSS v3.1 chưa được công bố chính thức. Nó ảnh hưởng đến:

  • VMware Tools (bao gồm open-vm-tools) phiên bản 13.x (trước 13.0.5.0) và 12.x (trước 12.5.4).

  • VMware Aria Operations trong chế độ phát hiện dịch vụ dựa trên thông tin xác thực (credential-based) hoặc không (credential-less).

Lỗ hổng được phát hiện bởi các nhà nghiên cứu tại NVISO Labs trong quá trình phản ứng sự cố (incident response) vào tháng 5/2025, và Broadcom đã công bố bản vá vào ngày 29/9/2025 qua thông báo bảo mật VMSA-2025-0015.

Cơ Chế Khai Thác

Hãy tưởng tượng một kẻ tấn công đã có quyền truy cập cục bộ hạn chế trên một máy ảo Linux (ví dụ: qua một tài khoản người dùng thông thường). Với CVE-2025-41244, việc nâng quyền lên root chỉ mất vài bước đơn giản:

  1. Chuẩn bị binary độc hại: Kẻ tấn công tạo một file thực thi giả mạo, ví dụ đặt tên là httpd và đặt nó vào thư mục /tmp (một thư mục mà bất kỳ người dùng nào cũng có thể ghi). Binary này phải đang chạy và lắng nghe trên một socket để "giả dạng" như một dịch vụ hợp lệ.

  2. Chờ script chạy: Script get-versions.sh của VMware Tools chạy định kỳ (mỗi 5 phút trong chế độ credential-less) để quét các tiến trình. Khi nó phát hiện binary giả mạo qua regex rộng, script sẽ thực thi binary đó với quyền cao hơn – thường là root – kèm theo tham số như -v để lấy phiên bản.

  3. Thực thi mã độc: Binary độc hại sẽ kết nối ngược (reverse shell) về máy của kẻ tấn công, trao quyền root đầy đủ. Một proof-of-concept (PoC) đơn giản bằng Go có thể tạo ra shell nâng quyền chỉ trong vài giây.

Dưới đây là ví dụ mã snippet từ script bị ảnh hưởng (trích từ phân tích của NVISO):

get_version() {
  PATTERN=$1
  VERSION_OPTION=$2
  for p in $space_separated_pids
  do
    COMMAND=$(get_command_line $p | grep -Eo "$PATTERN")
    [ ! -z "$COMMAND" ] && echo VERSIONSTART "$p" "$("${COMMAND%%[[:space:]]*}" $VERSION_OPTION 2>&1)" VERSIONEND
  done
}
# Gọi hàm với regex rộng
get_version "/\S+/(httpd-prefork|httpd|httpd2-prefork)($|\s)" -v

Vì regex không giới hạn đường dẫn hệ thống (như /usr/bin/), nó dễ dàng khớp với /tmp/httpd, dẫn đến thực thi không mong muốn. Khai thác này không yêu cầu quyền admin ban đầu, chỉ cần quyền local user, và có thể được tự động hóa qua các công cụ như Metasploit.

Tác Động Và Các Trường Hợp Khai Thác Thực Tế

Tác động của CVE-2025-41244 là nghiêm trọng: Kẻ tấn công có thể thực thi mã tùy ý với quyền root, dẫn đến kiểm soát toàn bộ máy ảo, đánh cắp dữ liệu, cài đặt backdoor, hoặc lan rộng sang các VM khác trong môi trường ảo hóa. Trong các hệ thống đám mây hoặc doanh nghiệp lớn, điều này có thể gây gián đoạn dịch vụ lớn, mất dữ liệu nhạy cảm, hoặc thậm chí là bước đệm cho các cuộc tấn công ransomware.

Đáng lo ngại hơn, lỗ hổng đã bị khai thác zero-day trong thực tế từ giữa tháng 10/2024 bởi nhóm UNC5174 một threat actor được cho là do nhà nước Trung Quốc tài trợ, chuyên về các chiến dịch tiếp cận ban đầu (initial access broker). NVISO phát hiện dấu vết khai thác trong các sự cố liên quan đến UNC5174 vào tháng 5/2025, nhưng do tính đơn giản của exploit, có thể nhiều malware khác đã vô tình lợi dụng nó trong nhiều năm qua.

Thời gian biểu chính:

  • Tháng 10/2024: Khai thác zero-day đầu tiên được ghi nhận.

  • Tháng 5/2025: NVISO xác định lỗ hổng qua phân tích forensic.

  • 29/9/2025: Broadcom phát hành bản vá.

Broadcom bị chỉ trích vì không tiết lộ sớm về việc khai thác zero-day, dẫn đến khoảng cách bảo mật kéo dài gần một năm.

Khuyến Nghị Khắc Phục Và Phòng Ngừa

Phía FPT threat Intelligent khuyến nghị các biện pháp để bảo vệ hệ thống:

  1. Áp dụng bản vá:

    • Nâng cấp VMware Tools lên phiên bản 13.0.5.0 (cho dòng 13.x) hoặc 12.5.4 (cho dòng 12.x).

    • Đối với open-vm-tools trên Linux, cập nhật qua package manager (ví dụ: apt update && apt upgrade open-vm-tools trên Ubuntu).

    • Kiểm tra advisory chính thức tại Broadcom Support.

  2. Giải pháp tạm thời:

    • Vô hiệu hóa tính năng service discovery trong VMware Aria Operations nếu không cần thiết.

    • Hạn chế quyền ghi vào các thư mục như /tmp cho người dùng không tin cậy (sử dụng SELinux hoặc AppArmor).

  3. Phát hiện và giám sát:

    • Giám sát tiến trình con từ vmtoolsd hoặc get-versions.sh bằng công cụ như Sysdig hoặc ELK Stack. Tìm kiếm các lệnh bất thường như /tmp/httpd -v.

    • Kiểm tra thư mục /tmp/VMware-SDMP-Scripts-{UUID}/ để tìm dấu vết script collector.

    • Sử dụng EDR (Endpoint Detection and Response) để phát hiện hành vi nâng quyền.

    • Áp dụng nguyên tắc least privilege: Không chạy VMware Tools với quyền root nếu có thể.

    • Thường xuyên quét lỗ hổng bằng công cụ như Nessus hoặc OpenVAS, và theo dõi các advisory từ CISA hoặc NIST.

Biện phápMô tảƯu tiên
Cập nhật patchNâng cấp VMware Tools/Aria OperationsCao
Giám sát tiến trìnhTheo dõi vmtoolsd và /tmpTrung bình
Vô hiệu hóa tính năngTắt service discovery nếu không dùngThấp
Kiểm toán quyềnÁp dụng RBAC và SELinuxCao

Tham khảo

https://blog.nviso.eu/2025/09/29/you-name-it-vmware-elevates-it-cve-2025-41244/

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36149

https://cybersecuritynews.com/vmware-tools-0-day-vulnerability/

#threat-intelligence#vmware

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

733 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.

Lỗ Hổng Zero-Day CVE-2025-41244 Trong VMware Tools: Rủi Ro Nâng Quyền Trên Hệ Thống Ảo Hóa