- شناسه CVE-2025-41244 :CVE
- CWE-267 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 29, 2025
- به روز شده: سپتامبر 29, 2025
- امتیاز: 7.8
- نوع حمله: Authorization Bypass
- اثر گذاری: Privilege Escalation
- حوزه: سیستمهای مجازیسازی و مدیریت ابری
- برند: VMWare
- محصول: VMware Aria Operations
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری افزایش سطح دسترسی لوکال در VMware Aria Operations و VMware Tools شناسایی شده است که به مهاجم لوکال با سطح دسترسی غیر مدیریتی اجازه می دهد تا سطح دسترسی root را روی ماشین مجازی (VM) به دست آورد.
توضیحات
آسیبپذیری CVE-2025-41244 از نوع افزایش سطح دسترسی لوکال مطابق با CWE-267 است که در اسکریپت get-versions.sh از پلاگین شناسایی سرویس در بسته open-vm-tools رخ میدهد. این اسکریپت برای تشخیص نسخه سرویسهای در حال اجرا مثلاً httpd، mysqld، nginx از الگوهای گسترده عبارت منظم (regex) استفاده میکند. به عبارتی، ابتدا شناسه فرآیندهایی با سوکتهای شنونده (listening sockets) را پیدا کرده و سپس فرمان استخراج نسخه را روی مسیر اجراییِ تشخیصدادهشده اجرا میکند (مثلاً با گزینههای v یا version).
مشکل فنی این است که الگوی regex طوری تعریف شده که مسیرهای قابل نوشتن عمومی مانند /tmp/httpd را نیز پوشش می دهد؛ در نتیجه اگر یک کاربر لوکال بدون سطح دسترسی یک فایل اجرایی در یک دایرکتوری عمومی مانند /tmp قرار دهد و آن برنامه یک سوکت شنونده را باز کند، اسکریپت get-versions.sh که با دسترسی root اجرا میشود آن مسیر را تشخیص میدهد و همان فایل را اجرا میکند. یعنی مهاجم میتواند کد دلخواه خود را بهعنوان فرآیندی با دسترسی root اجرا کند. در عمل، ایجاد یک برنامه ساده که سوکت باز میکند کافی است تا اسکریپتِ آسیبپذیر آن را با سطح دسترسی بالا اجرا نماید.
این ضعف زمانی فعال است که VMware Tools روی ماشین مجازی نصب شده و آن ماشین توسط VMware Aria Operations با پلاگین SDMP مدیریت شود. پیامدها شامل کسب دسترسی کامل روی ماشین مجازی (root)، سرقت دادهها، نصب بدافزار یا گسترش حمله در زیرساخت ابری است.
کد اثبات مفهومی (PoC) عمومی نشان میدهد یک باینری یا اسکریپت ساده (مثلاً به زبان Go) میتواند سوکتِ شنوندهای در /tmp/httpd ایجاد کند و هنگام فراخوانی توسط get-versions.sh، بهجای عملکرد مورد انتظار، یک شل معکوس یا هر فرمان دلخواه دیگری را اجرا نماید. این روش نیازی به دسترسی فیزیکی یا احراز هویت اضافی ندارد و تنها توانایی ایجاد و اجرای یک پردازه دارای سوکت در محیط لوکال کافی است.
گزارشهایی از بهره برداری عملی توسط عوامل تهدید منتسب به چین (China-linked actors) در حملاتِ روزصفر وجود دارد و این آسیب پذیری در فهرست KEV سازمان CISA ثبت شده است. VMware آسیبپذیری را با اصلاح یا غیرفعالسازی اسکریپت در بهروزرسانیهای خود پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 7.8 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 9.0.x before 9.0.1.0 | VCF operations |
| affected from 13.x.x.x before 13.0.5.0
affected from 12.5.x before 12.5.4 |
VMware tools |
| affected from 8.18.x before 8.18.5 | VMware Aria Operations |
| affected from 5.x before 8.18.5
affected from 4.x before 8.18.5 |
VMware Cloud Foundation |
| affected from 5.x before 8.18.5
affected from 4.x before 8.18.5 |
VMware Telco Cloud Platform |
| affected from 3.x before 8.18.5
affected from 2.x before 8.18.5 |
VMware Telco Cloud Infrastructure |
لیست محصولات بروز شده
| Versions | Product |
| 9.0.1.0 | VCF operations |
| 13.0.5.0
12.5.4 |
VMware tools |
| 8.18.5 | VMware Aria Operations |
| 8.18.5
8.18.5 |
VMware Cloud Foundation |
| 8.18.5
8.18.5 |
VMware Telco Cloud Platform |
| 8.18.5
8.18.5 |
VMware Telco Cloud Infrastructure |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که VMware Aria Operations و VMware Tools را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 2,470 | site:.ir “VMware Aria Operations” | VMware Aria Operations |
| 4,770 | site:.ir “VMware Tools” | VMware Tools |
نتیجه گیری
این آسیبپذیری با شدت بالا در VMware Aria Operations و VMware Tools امکان افزایش سطح دسترسی لوکال را فراهم می کند و میتواند منجر به کنترل کامل ماشین مجازی شود با توجه به انتشار پچهای امنیتی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمامی ماشینهای مجازی و بستههای VMware Tools/Aria Operations را به آخرین نسخههای منتشرشده بهروزرسانی کنید.
- غیرفعالسازی SDMP: در صورت امکان، بسته شناسایی سرویس را در Aria Operations غیرفعال کنید تا ریسک شناسایی سرویس کاهش یابد.
- محدودسازی دسترسی لوکال: اصل حداقل دسترسی (Least Privilege) را اعمال کنید و کاربران لوکال غیرضروری را از VMها حذف نمایید؛ از ابزارهایی مانند AppArmor یا SELinux برای محدودسازی اجرای اسکریپتهای root استفاده کنید.
- نظارت و ثبت لاگ: لاگهای VMware Tools و Aria Operations را با ابزارهایی مانند Splunk یا ELK Stack نظارت کنید تا فراخوانی های مشکوک get-versions.sh یا ایجاد سوکتهای ناامن شناسایی شود.
- ایزولهسازی ماشین های مجازی: VMها را در شبکههای جداگانه (مانند VLANs) ایزوله کنید و از کنترل های سطح هایپروایزر مانند NSX برای جلوگیری از حرکت جانبی بهره ببرید.
- تست امنیتی: VMها را با ابزارهای LPE مانند LinPEAS یا fuzzerهای سفارشی روی الگوهای regex اسکن کنید و PoC را در محیط تست اجرا نمایید تا اثربخشی پچ تأیید شود.
اجرای این اقدامات، بهویژه بهروزرسانی فوری و غیرفعالسازی ویژگیهای غیرضروری، ریسک بهرهبرداری از این آسیب پذیری را بهطور چشمگیری کاهش داده و امنیت زیرساختهای VMware را بهصورت قابلتوجهی افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
بردارِ ورود این آسیبپذیری محلی و مبتنی بر حساب کاربری معتبر است: مهاجمِ دارای دسترسی کاربر عادی میتواند یک باینری/اسکریپت جعلی را در مسیرهای قابل نوشتن سیستم مثلاً /tmp/httpd قرار داده و آن را طوری پیکربندی کند که سوکت شنونده باز کند؛ این عمل، ورودی لازم برای تحریک اسکریپت آسیبپذیر get-versions.sh فراهم میسازد. بنابراین پیشنیاز بهرهبرداری، توانایی ایجاد یک پردازه محلی است؛ بردار شبکهای یا احراز هویت مدیریتی لازم نیست
Execution (TA0002)
اسکریپت get-versions.sh که با امتیاز root اجرا میشود، مسیر اجرایی سرویسهای شنونده را استخراج و بدون سنجشِ کافی آن را اجرا میکند؛ بدینترتیب یک باینری ساختهشده توسط کاربر معمولی در مسیر قابلنوشت مثل /tmp/httpd توسط اسکریپت با امتیاز root اجرا شده و در نتیجه اجرای محلیِ کد با امتیازات ریشه (root) اتفاق میافتد.
Privilege Escalation (TA0004)
نتیجه مستقیم بهرهبرداری، افزایش سطح دسترسی محلی است: مهاجم از حساب عادی به root میرسد زیرا اسکریپتِ اجراشده بهنحو غیرمطمئن فایلهای قابلنوشت عمومی را بهعنوان باینری معتبر اجرا میکند.
Persistence (TA0003)
پس از حصول root، مهاجم می تواند زیاد برای حفظ دسترسی مکانیزمهایی مانند قرار دادن cron/systemd unit، نصب ماژول یا SUID باینری ایجاد میکند.
Defense Evasion (TA0005)
با دسترسی root مهاجم قادر است لاگها را پاک یا تغییر دهد و هماهنگیهای تشخیصی را بَرهم زند.
Discovery (TA0007)
مهاجمِ ارتقا یافته سریعاً محیط را شامل فهرست سرویسها، فایلهای پیکربندی، و محل ذخیرهسازی لاگ/توکنها شناسایی کند.
Impact (TA0040)
اثرات این آسیبپذیری گسترده و ملموس استConfidentiality افشای دادهها/توکنها Integrity (نصب بدافزار، تغییر پیکربندیها) ، و Availability (ممکن است سرویسها تضعیف یا سرویسدهی متوقف شود). دامنه اثر میتواند از یک VM آلوده تا گسترش به سایر منابعِ ابری ادامه یابد؛ لذا واکنش سریع، پچ و containment اجباری است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-41244
- https://www.cvedetails.com/cve/CVE-2025-41244/
- https://lists.debian.org/debian-lts-announce/2025/10/msg00000.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-41244
- https://vuldb.com/?id.326249
- https://github.com/haspiranti/CVE-2025-41244-PoC
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-41244
- https://nvd.nist.gov/vuln/detail/CVE-2025-41244
- https://cwe.mitre.org/data/definitions/267.html
