VMware Tools/Aria Operations local privilege escalation (CVE-2025-41244)¶
Aria Operations'ın SDMP service-discovery script'indeki bir untrusted-search-path hatası, admin olmayan yerel bir kullanıcının VM içinde yerleştirilmiş bir binary'yi root olarak çalıştırmasına izin verir.
Mechanism¶
İhlal edilen invariant
Aria Operations, VMware Tools ve SDMP (service discovery) enabled olan bir
VM'i yönettiğinde, bir discovery script'i (get-versions.sh) servis
binary'lerini bulur ve sürümlerini okumak için onları yükseltilmiş
ayrıcalıkla çalıştırır. Korunan sınır ayrıcalıksız yerel kullanıcı → root,
VM içinde'dir. CVE-2025-41244 bir untrusted-search-path / CWE-426
zayıflığıdır: script, aday binary'leri bulmak için aşırı geniş matching
kullanır, dolayısıyla ayrıcalıksız kullanıcının yazabileceği bir path (örn.
world-writable bir dizine yerleştirilmiş bir binary) ayrıcalıklı discovery
process'i tarafından seçilir ve çalıştırılır. Ayrıcalıklı context saldırganın
seçtiği dosyayı çalıştırdığı için saldırgan root elde eder. İhlal edilen
invariant, bir ayrıcalıklı process'in yalnızca güvenilir, saldırganın kontrol
etmediği binary'leri çalıştırması gerektiğidir.
Important olarak derecelendirildi (CVSS 7.8). Broadcom, public olarak UNC5174'e atfedilen şüpheli in-the-wild exploitation raporladı.
Walkthrough¶
Broadcom advisory'sinden ve public write-up'lardan (örn. NVISO), yüksek seviyeden:
- Yönetilen bir VM içinde administrative olmayan bir kullanıcı olarak, aşırı geniş discovery regex'inin eşleyeceği bir yere kötücül bir executable yerleştir (public raporlar bir servis gibi görünmek üzere adlandırılmış writable bir temp konumu gibi bir path'i belirtir).
get-versions.sh'ı invoke eden SDMP service-discovery çalışmasını bekle / tetikle.- Ayrıcalıklı discovery process'i saldırganın binary'sini eşler ve çalıştırır, onu root olarak çalıştırır — VM'de tam local privilege escalation.
Kesin regex'ler / payload'lar yeniden üretilmemiştir.
Detection¶
vmtoolsdya daget-versions.shtarafından spawn edilen olağandışı child process'ler, özellikle writable/temp dizinlerden gelen binary'ler./tmp/VMware-SDMP-Scripts-{UUID}/altında artakalan script artifact'ları.- root EUID ile world-writable path'lerden binary execution'ı; Tools/SDMP discovery akışına kök salan EDR parent/child anomalileri.
Mitigation¶
- Patch: VMware Tools 12.5.4 / 13.0.5 ve sonrası (11.x etkilenir — upgrade et); 8.18.5 öncesi Aria Operations etkilenir. Broadcom advisory'sine ve KB'ye bak.
- Patch'leme geride kalıyorsa, hassas VM'ler için SDMP/service discovery yönetimini disable et.
- Writable path'leri harden et; discovery script'inin aradığı dizinlerde kimin dosya oluşturabileceğini kısıtla.