Amerikaanse overheid bevestigt actief misbruik van VMware-lek

In dit artikel:

Onderzoekers en overheidsinstanties waarschuwen dat een kritisch lek in VMware Aria Operations en VMware Tools (CVE-2025-41244) daadwerkelijk door aanvallers wordt misbruikt. Het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) meldt actief misbruik en heeft federale instanties opdracht gegeven de door Broadcom uitgebrachte beveiligingsupdate vóór 20 november te installeren.

Nviso ontdekte het lek in mei tijdens onderzoek naar aanvallen van de groep UNC5174 — een actor die door meerdere bedrijven aan China gelinkt wordt — en rapporteerde het eind mei aan Broadcom. Het probleem maakt het voor een lokale, niet-bevoorrechte gebruiker binnen een virtuele machine mogelijk om code met root‑rechten op diezelfde VM uit te voeren. Broadcom gaf op 29 september patches vrij en heeft later zijn bulletin bijgewerkt om officieel te bevestigen dat er "in het wild" misbruik is opgetreden; Nviso stelde dat aanvallers het al sinds medio oktober 2024 inzetten.

Aria Operations wordt door Broadcom gepresenteerd als het beheer- en controlemiddel voor VMware- en multi-cloudomgevingen. Organisaties wordt dringend aangeraden de updates onmiddellijk te installeren en hun VM‑omgevingen te controleren op indicaties van compromittering.