Sicherheitslücke in VMware-Systemen erlaubt Root-Zugriff: UNC5174-Angriffe und Fixes

VMware Aria Operation und VMware Tools Zero-Day-Schwachstelle ermöglicht Root-Rechte in VMware-Umgebungen

10.10.2025 Von Paula Breukel 2 min Lesedauer

Anbieter zum Thema

Seit Oktober 2024 nutzen Angreifer einfache Dateinamen, um Root-Rechte in VMware-Systemen zu erlangen. Nviso identifizierte die Methode bei mehreren Angriffen der Gruppe UNC5174.

Insgesamt musste Broadcom sechs Schwachstellen mit einem hohen Schweregrad schließen. (Bild: © rufous - stock.adobe.com) — Insgesamt musste Broadcom sechs Schwachstellen mit einem hohen Schweregrad schließen.
(Bild: © rufous - stock.adobe.com)

Das belgische Beratungshaus Nviso hat eine kritische Sicherheitslücke in VMware-Produkten aufgedeckt, die offenbar bereits seit Oktober 2024 aktiv ausgenutzt wird. Die Ermittlungen im Rahmen mehrerer Vorfallsanalysen ergaben Anzeichen einer Zero-Day-Ausnutzung, die auf die chinesische APT-Gruppe „UNC5174“ zurückzugehen schien. Nviso hat Broadcom im Mai 2025 informiert, Ende September folgten Patches für die betroffenen Komponenten.

Broadcom patcht drei Sicherheitslücken in VMware Cloud Foundation. Eine davon ist eine Directory-Traversal-Sicherheitslücke, eine andere ist auf fehlende Authorisierung zurückzuführen. (Bild: freshidea - stock.adobe.com)

Schwachstelle in VMware Aria Operations und VMware Tools entdeckt

Die Schwachstelle CVE-2025-41244 (CVSS-Score 7.8) betrifft den Service-Discovery-Mechanismus in „VMware Aria Operations“ und „VMware Tools“. Diese Funktion durchsucht virtuelle Maschinen regelmäßig nach laufenden Programmen, um Versionsdaten zu erfassen. Dabei legt das System temporäre Dateien im Verzeichnis „/tmp“ ab, das für alle Benutzer beschreibbar ist. Ein Angreifer kann dort ein manipuliertes Programm platzieren. Beim nächsten Scan wird dieses vom Mechanismus erkannt und mit Root-Rechten ausgeführt, also mit den höchsten Systemprivilegien. Dadurch können Cyberkriminelle Schadcode mit vollständigen Rechten laufen lassen, Backdoors einrichten oder Daten stehlen.

Warum war das möglich?

Hinter dem Softwarefehler steckt eine fehlende Überprüfungsverfahren. Denn die Software vertraut Programmen, die bestimmten Namensmustern entsprechen, ohne deren Herkunft oder Speicherort zu prüfen. Wird eine Datei beispielsweise „/tmp/httpd“ genannt, interpretiert VMware sie als legitimen Webserver-Prozess. Die Folge: Sie wird automatisch mit erweiterten Rechten gestartet. In mehreren Fällen nutzte die chinesische Angreifergruppe UNC5174 genau dieses Muster. Ihre Tarnung bestand aus Systemnamen wie „httpd“ oder „mysqld“.

Interessanterweise betonen die Sicherheitsforscher von Nviso, dass dieser Fehler so trivial sei, dass unklar bleibe, ob die Angreifer ihn gezielt oder unbeabsichtigt ausnutzten. Da UNC5174 häufig Systemprozesse imitiere, könnten laut Nviso auch andere Malware-Varianten jahrelang unbeabsichtigt von dieser Rechteausweitung profitiert haben. Die Zero-Day-Schwachstelle CVE-2025-41244 ermöglicht eine vollständige Übernahme virtueller Maschinen. Nviso demonstrierte im Report den Angriff in einem Proof-of-Concept, der mit wenigen Zeilen Code eine Root-Shell öffnet. Der zugehörige Exploit-Code ist inzwischen öffentlich verfügbar.

Plague ist eine neue Linux-Backdoor, die SSH-Zugriffe erlaubt, sich als Systembibliothek tarnt und vollständig an Antivirus-Systemen vorbeischleust. Jetzt erste YARA-Regel verfügbar. (Bild: © Duminda - stock.adobe.com)

Weiteren Schwachstellen bei VMware

Neben CVE-2025-41244 informiert Broadcom über fünf weitere Sicherheitslücken. Zwei davon – CVE-2025-41245 (CVSS-Score 4.9) und CVE-2025-41246 (CVSS-Score 7.6) – betreffen erneut Aria Operations und VMware Tools:

In VMware Aria Operations können Angreifer ohne administrative Rechte auf Zugangsdaten anderer Nutzer zugreifen.

In VMware Tools für Windows lassen sich mit begrenzten Berechtigungen andere virtuelle Maschinen kompromittieren, sofern zuvor Zugriff auf vCenter oder ESXi besteht.

Darüber hinaus führen die Entwickler in einer separaten Sicherheitsmeldung drei weitere Schwachstellen mit den Kennungen CVE-2025-41250 (CVSS-Score 8.5), CVE-2025-41251 (CVSS-Score 8.1) und CVE-2025-41252 (CVSS-Score 7.5) an. Betroffen sind die Lösungen „Cloud Foundation“, „NSX“, „NSX-T“, „Telco Cloud Infrastructure“, „Telco Cloud Platform“ und „vCenter Server“. Wenn Cyberangreifer bereits authentifiziert sind und geplante Aufgaben anlegen können, lassen sich in diesem Kontext versendete E-Mails manipulieren oder geschützte Daten einsehen.

Dass Sicherheitsforscher Schwachstellen früher entdecken und veröffentlichen ist ein gutes Zeichen. Allerdings bedeutet es auch, dass Hacker Zero-Day-Schwachstellen künftig noch schneller ausnutzen werden. (Bild: kentoh - stock.adobe.com)

Was sollten Administratoren jetzt tun?

Broadcom rät dringend, die veröffentlichten Sicherheitsupdates einzuspielen, da keine alternativen Schutzmaßnahmen existieren. Das Advisory mit den Download-Links ist online abrufbar. Die Patches schließen die sechs genannten Schwachstellen, die in Kombination sowohl Cloud- als auch On-Premises-Umgebungen betreffen.

Drei Sicherheitslücken in Produkten von VMware werden derzeit aktiv ausgenutzt. Hersteller Broadcom liefert Patches. (Bild: lucadp - stock.adobe.com)

(ID:50579871)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.