Detectouse unha vulnerabilidade crítica en VMware Tools e VMware Aria Operations, rexistrada como CVE-2025-41244, que está a ser explotada activamente en contornos reais.
Esta vulnerabilidade permite que un atacante con privilexios limitados nunha máquina virtual eleve os seus permisos ata nivel de administrador (root), obtendo control total sobre o sistema afectado. Isto facilita movementos laterais, roubo de datos ou execución de código arbitrario en contornos virtualizados.
O fallo está asociado ao compoñente Service Discovery Management Pack (SDMP) de Aria Operations, presente en numerosas instalacións corporativas de VMware.
Versións afectadas
- VMware Tools anteriores á versión 13.0.5 (ou 12.5.4 na rama 12.x)
- VMware Aria Operations anteriores á versión 8.18.5
- VMware Cloud Foundation Operations anteriores á versión 9.0.1.0
A vulnerabilidade afecta tanto a contornas on-premise como a nubes privadas e híbridas que empreguen VMware Tools e Aria Operations.
Impacto
Estas vulnerabilidades poderían ser explotadas para executar código malicioso de forma remota, roubar información sensible ou instalar malware.
A explotación de CVE-2025-41244 (CVSS 7.8) pode permitir:
- Escalada de privilexios desde un usuario limitado ata administrador do sistema.
- Execución de código arbitrario na máquina virtual comprometida.
- Acceso non autorizado a outros sistemas ou servizos dentro da rede.
- Exfiltración de información sensible.
Existen evidencias de explotación activa por parte de atacantes avanzados en contornos corporativos e servizos críticos.
Medidas de mitigación
- Actualizar inmediatamente os compoñentes afectados ás versións corrixidas:
- VMware Tools ≥ 13.0.5
- VMware Aria Operations ≥ 8.18.5
- VMware Cloud Foundation ≥ 9.0.1.0
- Desactivar ou limitar o uso do compoñente SDMP se non é necesario.
- Revisar e limitar os privilexios dos usuarios locais nas máquinas virtuais.
- Monitorizar procesos sospeitosos relacionados con vmtoolsd e scripts en rutas temporais (por exemplo, /tmp/VMware-SDMP-Scripts-{UUID}/).
- Aplicar segmentación de rede e políticas de mínimos privilexios en contornos virtualizados.
Non existen solucións alternativas oficiais máis alá da aplicación dos parches de seguridade.
