VMwareのゼロデイを中国ハッカーが2024年10月から悪用：CVE-2025-41244

佐々山 Tacos

2025.10.01

VMwareのゼロデイを中国ハッカーが2024年10月から悪用：CVE-2025-41244

BleepingComputer – September 30, 2025

Broadcomが2025年9月29日に開示したMware Aria Operations、 VMware Toolsにおける権限昇格の脆弱性CVE-2025-41244は、2024年10月からゼロデイ攻撃の中で悪用されていたという。同脆弱性の発見者・報告者であるベルギーのサイバーセキュリティ企業NVISOが伝えている。

CVE-2025-41244はローカル権限昇格の脆弱性で、CVSSv3スコアは8.8。深刻度は「Important」と評価されている。Broadcomのアドバイザリによれば、管理者以外の権限を有し、SDMPが有効化されたAria Operationsの管理下にあるVMware ToolsがインストールされたVMにアクセスできるローカルの悪意あるアクターは、同VM上でrootへ権限を昇格させるためにこの脆弱性を悪用する可能性があるという。

アドバイザリに攻撃での悪用に関する記述はないものの、NVISOの研究者Thiebaut氏は同じく29日公開のブログ記事の中で、2024年10月半ばから同脆弱性が悪用されている旨を伝え、この攻撃に中国の国家支援型脅威アクターとされるUNC5174（Uteus、Uetus）が関与しているとの見解を示した。Thiebaut氏によれば、同脆弱性の悪用は特権を持たないユーザーによる、rootなどの特権コンテキストでのコード実行に繋がる恐れがあるとされる。ただ、悪用難易度の低さゆえ、このエクスプロイトがUNC5174の有する能力の一部だったのか、もしくは偶然ゼロデイが使用されただけなのかは判断できないという。なおNVISOは、CVE-2025-41244を悪用して権限を昇格させ、最終的にVM上でrootレベルのコード実行を達成する方法を示すPoCエクスプロイトもリリースしている。

UNC5174は、中国国家安全部（MSS）から任務を請け負っているとGoogle Mandiantが評価しているグループで、これまでにも数々の脆弱性の悪用への関与が指摘されてきた。2023年には、F5 BIG-IPのRCE脆弱性CVE-2023-46747を悪用する攻撃の後で米国の防衛請負業者、英国の政府機関、アジアの施設などのネットワークへのアクセスを販売している様子が観測されている。また2024年2月には、米国およびカナダの施設数百か所の侵害目的でConnectWise ScreenConnectの脆弱性CVE-2024-1709を悪用したとされるほか、2025年5月には、SAP NetWeaver Visual Composerサーバー上でのRCE達成を目的とした脆弱性CVE-2025-31324の悪用への関与が指摘された。

Broadcomは上記ゼロデイと併せて、VMware Aria Operationsにおける情報開示の脆弱性CVE-2025-41245と、VMware Toolsにおける不適切な認可の脆弱性CVE-2025-41246も修正しているほか、同じ日に公開された別のアドバイザリでは、米国NSA（国家安全保障局）が発見・報告したVMware NSXの脆弱性CVE-2025-41251およびCVE-2025-41252についても開示している。