Un «día cero» que se prolongó un año: Broadcom borra las huellas chinas en sistemas VMware
Hackers demostraron lo fácil que es escalar privilegios en VMware Aria.
Broadcom solucionó una grave vulnerabilidad de elevación de privilegios en VMware Aria Operations y VMware Tools, que se había explotado en ataques de día cero desde octubre de 2024. El problema recibió el identificador CVE-2025-41244. Aunque en el boletín oficial la empresa no señaló la explotación en la naturaleza, el investigador de NVISO Maxime Thiebaut informó sobre ella ya en mayo, y la propia NVISO confirmó ataques activos que comenzaron a mediados de octubre de 2024. En el análisis se vinculó el ataque con el grupo chino UNC5174.
La vulnerabilidad permite a un usuario local sin privilegios colocar un binario malicioso en directorios que coinciden con expresiones regulares amplias. Una de las variantes observadas en ataques reales fue el uso del directorio /tmp/httpd. Para que el servicio de VMware reconozca el binario malicioso, es necesario iniciarlo como un usuario normal y abrir un socket de red aleatorio.
Como resultado, los atacantes pueden elevar privilegios hasta root y ejecutar código arbitrario dentro de la máquina virtual. NVISO también publicó un exploit de demostración que muestra cómo este fallo se utiliza para comprometer VMware Aria Operations en modo con credenciales y VMware Tools en modo sin credenciales.
Según Google Mandiant, UNC5174 opera en interés del Ministerio de Seguridad del Estado de China. En 2023 el grupo vendió acceso a redes de contratistas del sector de defensa de EE. UU., a organismos gubernamentales del Reino Unido y a organizaciones asiáticas, aprovechando la vulnerabilidad CVE-2023-46747 en F5 BIG-IP.
En febrero de 2024 explotó CVE-2024-1709 en ConnectWise ScreenConnect, atacando a cientos de instituciones en EE. UU. y Canadá. En la primavera de 2025, el grupo también fue observado explotando CVE-2025-31324, un error de carga de archivos en NetWeaver Visual Composer que permitía ejecutar código arbitrario. En los ataques a sistemas SAP participaron también otros colectivos chinos, incluidos Chaya_004, UNC5221 y CL-STA-0048, que instalaron puertas traseras en más de 580 instancias de NetWeaver, entre ellas en infraestructuras críticas de EE. UU. y del Reino Unido.
¿Estás cansado de que Internet sepa todo sobre ti?