-
09/04/2020
-
117
-
1.226 bài viết
VMware dính lỗ hổng zero-day nghiêm trọng cho phép leo thang đặc quyền
Các tổ chức vận hành hạ tầng ảo hóa bằng VMware đang đứng trước mối đe dọa nghiêm trọng bởi lỗ hổng zero-day CVE-2025-41244, nằm trong VMware Tools và VMware Aria Operations (SDMP). Lỗ hổng này cho phép kẻ tấn công chiếm quyền root mà không cần xác thực và đã bị nhóm UNC5174 khai thác ngoài thực tế từ giữa tháng 10/2024.
CVE-2025-41244 bắt nguồn từ một sai sót trong script get-versions.sh. Script này được thiết kế để quét tiến trình và lấy thông tin phiên bản dịch vụ. Trong quá trình hoạt động, hàm get_version() sử dụng biểu thức chính quy có phạm vi quá rộng với ký tự \S. Thay vì chỉ nhận diện tệp nhị phân hợp lệ, nó còn khớp với cả những đường dẫn mà người dùng có thể ghi, chẳng hạn thư mục tạm /tmp/httpd. Kẻ tấn công có thể đặt một tệp thực thi giả mạo tại vị trí này và mở một cổng chờ kết nối. Khi script vô tình gọi tệp giả để lấy thông tin phiên bản, mã độc được thực thi trong ngữ cảnh đặc quyền của dịch vụ như vmtoolsd hoặc Aria SDMP. Một lỗi tưởng như đơn giản đã trở thành đòn bẩy cho việc chiếm quyền kiểm soát toàn bộ hệ thống.
Ví dụ những lệnh trong get-versions.sh có thể bị khai thác:
Chuỗi khai thác diễn ra vô cùng đơn giản. Kẻ tấn công khởi chạy một tiến trình bình thường ở mức người dùng, sau đó thả một nhị phân giả vào thư mục tạm và mở một socket tại /tmp/httpd. Khi công cụ kiểm tra phiên bản chạy định kỳ, nó nhầm lẫn và gọi tệp giả mạo với tham số như -v. Kết quả là payload độc hại được thực thi trong ngữ cảnh có quyền cao, có thể mở shell ở mức root. Một mã chứng minh khái niệm bằng Go đã minh họa toàn bộ chuỗi tấn công này, cho thấy tính khả thi và mức độ nguy hiểm.
Trong Aria Operations, tiến trình thu thập số liệu có thể chạy ở hai chế độ là dựa trên thông tin xác thực hoặc không cần thông tin xác thực. Cả hai trường hợp đều dẫn đến việc nhị phân giả có thể được thực thi trong ngữ cảnh đặc quyền. Vì vậy, lỗ hổng này không chỉ là vấn đề leo thang đặc quyền cục bộ mà còn tiệm cận nguy cơ thực thi mã từ xa. Theo đánh giá CVSS 3.1, CVE-2025-41244 đạt điểm 7.8 và được phân loại theo CWE-426 (Untrusted Search Path).
Các phiên bản bị ảnh hưởng bao gồm VMware Tools từ 11.x đến 13.x và VMware Aria Operations 8.x cùng một số thành phần thuộc VMware Cloud Foundation và vSphere. Quản trị viên cần đối chiếu chi tiết với khuyến cáo của Broadcom để xác định chính xác tình trạng của hệ thống trong môi trường của mình.
Để giảm thiểu rủi ro, các tổ chức cần thực hiện ngay những biện pháp sau:
CVE-2025-41244 bắt nguồn từ một sai sót trong script get-versions.sh. Script này được thiết kế để quét tiến trình và lấy thông tin phiên bản dịch vụ. Trong quá trình hoạt động, hàm get_version() sử dụng biểu thức chính quy có phạm vi quá rộng với ký tự \S. Thay vì chỉ nhận diện tệp nhị phân hợp lệ, nó còn khớp với cả những đường dẫn mà người dùng có thể ghi, chẳng hạn thư mục tạm /tmp/httpd. Kẻ tấn công có thể đặt một tệp thực thi giả mạo tại vị trí này và mở một cổng chờ kết nối. Khi script vô tình gọi tệp giả để lấy thông tin phiên bản, mã độc được thực thi trong ngữ cảnh đặc quyền của dịch vụ như vmtoolsd hoặc Aria SDMP. Một lỗi tưởng như đơn giản đã trở thành đòn bẩy cho việc chiếm quyền kiểm soát toàn bộ hệ thống.
Ví dụ những lệnh trong get-versions.sh có thể bị khai thác:
Mã:
get_version "/\S+/(httpd-prefork|httpd|httpd2-prefork)($|\s)" -v
get_version "/\S+/mysqld($|\s)" -VChuỗi khai thác diễn ra vô cùng đơn giản. Kẻ tấn công khởi chạy một tiến trình bình thường ở mức người dùng, sau đó thả một nhị phân giả vào thư mục tạm và mở một socket tại /tmp/httpd. Khi công cụ kiểm tra phiên bản chạy định kỳ, nó nhầm lẫn và gọi tệp giả mạo với tham số như -v. Kết quả là payload độc hại được thực thi trong ngữ cảnh có quyền cao, có thể mở shell ở mức root. Một mã chứng minh khái niệm bằng Go đã minh họa toàn bộ chuỗi tấn công này, cho thấy tính khả thi và mức độ nguy hiểm.
Trong Aria Operations, tiến trình thu thập số liệu có thể chạy ở hai chế độ là dựa trên thông tin xác thực hoặc không cần thông tin xác thực. Cả hai trường hợp đều dẫn đến việc nhị phân giả có thể được thực thi trong ngữ cảnh đặc quyền. Vì vậy, lỗ hổng này không chỉ là vấn đề leo thang đặc quyền cục bộ mà còn tiệm cận nguy cơ thực thi mã từ xa. Theo đánh giá CVSS 3.1, CVE-2025-41244 đạt điểm 7.8 và được phân loại theo CWE-426 (Untrusted Search Path).
Các phiên bản bị ảnh hưởng bao gồm VMware Tools từ 11.x đến 13.x và VMware Aria Operations 8.x cùng một số thành phần thuộc VMware Cloud Foundation và vSphere. Quản trị viên cần đối chiếu chi tiết với khuyến cáo của Broadcom để xác định chính xác tình trạng của hệ thống trong môi trường của mình.
Để giảm thiểu rủi ro, các tổ chức cần thực hiện ngay những biện pháp sau:
- Cập nhật khẩn cấp các bản vá do Broadcom phát hành cho VMware Tools và Aria Operations ngay khi có sẵn
- Thiết lập giám sát tiến trình để phát hiện các child process bất thường sinh ra từ vmtoolsd hoặc Aria SDMP
- Rà soát hệ thống tệp và hạn chế quyền ghi tại các thư mục tạm, đồng thời cân nhắc gắn mount option noexec
- Tăng cường phân đoạn mạng để hạn chế nguy cơ di chuyển ngang sau khi khai thác thành công
- Sử dụng công cụ EDR hoặc OSQuery nhằm phát hiện tiến trình lạ từ thư mục tạm và socket bất thường
Tổng hợp
Chỉnh sửa lần cuối: