Cơ quan An ninh mạng và CISA vừa bổ sung một lỗ hổng leo thang đặc quyền nghiêm trọng trong VMware (CVE-2025-41244) vào danh mục KEV. Có thể liên quan đến nhóm tin tặc UNC5174.

Lỗ hổng được đề cập là CVE-2025-41244, có điểm CVSS 7.8, ảnh hưởng đến Broadcom VMware Tools và VMware Aria Operations. Theo CISA, một “tác nhân độc hại local không có đặc quyền admin” có quyền truy cập vào máy ảo (VM) đã cài đặt VMware Tools và được quản lý bởi Aria Operations (với SDMP được bật), có thể khai thác lỗ hổng này để leo lên root trên chính VM đó.

Lỗ hổng này đã được Broadcom (chủ sở hữu VMware) vá vào tháng trước. Tuy nhiên, theo NVISO Labs, họ đã phát hiện ra nó từ tháng 5 năm 2025 trong một cuộc điều tra ứng cứu sự cố. Đáng lo ngại hơn, nó đã bị khai thác như một zero-day bởi các tác nhân đe dọa không xác định ít nhất từ giữa tháng 10 năm 2024. Hoạt động khai thác này được NVISO và Google Mandiant quy cho UNC5174, một nhóm tin tặc được cho là có liên kết với Trung Quốc. NVISO mô tả lỗ hổng là trivial để khai thác, mặc dù chi tiết về payload cụ thể vẫn chưa được công bố.

Cùng với lỗ hổng VMware, CISA cũng bổ sung một lỗ hổng eval injection nghiêm trọng trong XWiki vào danh mục KEV. Lỗ hổng này cho phép bất kỳ guest nào cũng có thể RCE thông qua một request được chế tạo đặc biệt tới endpoint /bin/get/Main/SolrSearch. Đầu tuần này, VulnCheck tiết lộ đã quan sát thấy các nỗ lực khai thác lỗ hổng này để cài đặt phần mềm cryptocurrency miner.

CISA đã yêu cầu FCEB phải áp dụng các biện pháp giảm thiểu cần thiết trước ngày 20 tháng 11 năm 2025, để bảo vệ hệ thống mạng của họ khỏi các mối đe dọa đang bị khai thác tích cực này.