Vulnerabilidad 0-Day en VMware Tools y Aria Operations explotada activamente

ciberseguridad
Empresas
Administración pública
Vulnerabilidades
Nivel de alerta
Alto

Se ha identificado una vulnerabilidad crítica en VMware Tools y VMware Aria Operations, registrada como CVE-2025-41244, que está siendo explotada activamente en entornos reales.

La vulnerabilidad permite a un atacante con privilegios limitados en una máquina virtual elevar sus permisos hasta nivel de administrador (root), logrando control total del sistema afectado. Esto facilita movimientos laterales, robo de datos o ejecución de código arbitrario en entornos virtualizados.

El fallo está relacionado con el componente Service Discovery Management Pack (SDMP) de Aria Operations, utilizado en numerosas instalaciones corporativas de VMware.

Versiones afectadas

  • VMware Tools anteriores a la versión 13.0.5 (o 12.5.4 en la rama 12.x)
  • VMware Aria Operations anteriores a la versión 8.18.5
  • VMware Cloud Foundation Operations anteriores a la versión 9.0.1.0

Afecta a entornos on-premise, nubes privadas y entornos híbridos que utilicen VMware Tools y Aria Operations.

Impacto 

Estas vulnerabilidades podrían ser explotadas para ejecutar código malicioso de forma remota, robar información sensible o instalar malware.

La explotación de CVE-2025-41244 (CVSS 7.8) puede permitir:

  • Escalada de privilegios desde un usuario limitado hasta administrador del sistema.
  • Ejecución de código arbitrario en la máquina virtual comprometida.
  • Acceso no autorizado la otros sistemas o servicios dentro de la red.
  • Exfiltración de información sensible.


Se han observado casos reales de explotación activa por parte de atacantes avanzados en entornos corporativos y de servicios críticos. 

Medidas de mitigación

  • Actualizar inmediatamente los componentes afectados a las versiones corregidas:
  • VMware Tools ? 13.0.5
  • VMware Aria Operations ? 8.18.5
  • VMware Cloud Foundation ? 9.0.1.0
  • Desactivar o limitar el uso del componente SDMP si no es necesario.
  • Revisar y limitar los privilegios de los usuarios locales en las máquinas virtuales.
  • Monitorizar procesos sospechosos relacionados con vmtoolsd y scripts en rutas temporales (por ejemplo, /tmp/VMware-SDMP-Scripts-{UUID}/).
  • Aplicar segmentación de red y políticas de mínimos privilegios en contornos virtualizados.


No existen soluciones alternativas oficiales más allá de la aplicación de parches.

Información relacionada

Enlaces de interés
Broadcom Security Advisory VMSA-2025-0015