امریکی Cybersecurity and Infrastructure Security Agency (CISA) نے ایک انتہائی خطرناک سیکیورٹی خامی کے بارے میں وارننگ جاری کی ہے جو Broadcom VMware Tools اور VMware Aria Operations کو متاثر کر رہی ہے، اور جسے حقیقی دنیا میں ہیکرز فعال طور پر استعمال کر رہے ہیں۔
یہ کمزوری CVE-2025-41244 کے نام سے ٹریک کی جا رہی ہے، جس کا CVSS اسکور 7.8 ہے، اور یہ حملہ آوروں کو سسٹم پر روٹ لیول (مکمل ایڈمن اختیار) حاصل کرنے کی اجازت دے سکتی ہے۔
خامی کی تفصیل
CISA کے مطابق:
“Broadcom VMware Aria Operations اور VMware Tools میں ایک ایسی کمزوری پائی گئی ہے جو غیر محفوظ ایکشنز کے ساتھ پرائیویلیج کو ڈیفائن کرتی ہے۔ ایک غیر ایڈمن صارف، جس کے پاس کسی VM تک رسائی ہے جس پر VMware Tools انسٹال ہیں اور Aria Operations کے ذریعے SDMP فعال ہے، وہ اس خامی کو استعمال کر کے اسی VM پر روٹ پرائیویلیجز حاصل کر سکتا ہے۔”
اس کا مطلب ہے کہ کوئی بھی کم سطحی یا عام صارف اگر سسٹم تک محدود رسائی رکھتا ہو تو وہ اس خرابی کا استعمال کر کے ایڈمن (روٹ) سطح کے اختیارات حاصل کر سکتا ہے — جو سسٹم کے مکمل کنٹرول کے مترادف ہے۔
استعمال کی ٹائم لائن اور دریافت
سیکیورٹی فرم NVISO Labs کے مطابق یہ خامی اکتوبر 2024 کے وسط سے زیرو ڈے کے طور پر استعمال ہو رہی تھی، جبکہ Broadcom نے اس کا پیچ صرف گزشتہ ماہ جاری کیا۔
دلچسپ بات یہ ہے کہ NVISO Labs نے یہ کمزوری مئی 2024 میں ایک انسیڈنٹ ریسپانس کے دوران دریافت کی تھی، جس سے ظاہر ہوتا ہے کہ حملہ آور ممکنہ طور پر کافی عرصے سے اس خامی سے واقف تھے۔
یہ سرگرمی چین سے تعلق رکھنے والے ایک ہیکر گروپ سے منسلک کی گئی ہے، جسے Google Mandiant نے UNC5174 کے نام سے شناخت کیا ہے۔
NVISO کے مطابق یہ خامی “استعمال کے لحاظ سے نہایت آسان (trivial to exploit)” ہے، جس کی وجہ سے ہیکرز نے اسے جلدی سے ہتھیار بنا لیا۔
تحقیقی ماہرین نے اس خامی کے بعد چلنے والے حقیقی پے لوڈ یا میل ویئر کی تفصیلات فی الحال ظاہر نہیں کیں تاکہ مزید نقصان سے بچا جا سکے۔
“جب یہ حملہ کامیاب ہوتا ہے، تو ایک عام صارف بھی ایڈمن (روٹ) کی سطح پر کوڈ ایکزیکیوٹ کر سکتا ہے،” سیکیورٹی ریسرچر Maxime Thiebaut نے کہا۔
ان کے مطابق ابھی یہ واضح نہیں کہ آیا یہ ایکسپلائٹ UNC5174 کے ہتھیاروں کا حصہ تھا یا محض اتفاقی طور پر استعمال ہوا کیونکہ اسے ایکسپلائٹ کرنا آسان تھا۔
XWiki میں ایک اور خطرناک خامی شامل
VMware خامی کے ساتھ ساتھ CISA نے اپنی Known Exploited Vulnerabilities (KEV) لسٹ میں ایک اور بڑی خامی بھی شامل کی ہے — یہ ایک critical eval injection vulnerability ہے جو XWiki میں موجود ہے۔
یہ کمزوری یہاں تک کہ عام (guest) صارفین کو بھی ریموٹ کوڈ ایکزیکیوشن (RCE) کی اجازت دیتی ہے، اگر وہ مخصوص انداز میں “/bin/get/Main/SolrSearch” اینڈ پوائنٹ پر ریکویسٹ بھیجیں۔
حالیہ دنوں میں VulnCheck نے مشاہدہ کیا ہے کہ نامعلوم ہیکرز اس خامی کو کرپٹو مائنرز انسٹال کرنے کے لیے استعمال کر رہے ہیں۔
حفاظتی اقدامات اور ڈیڈ لائن
CISA نے تمام Federal Civilian Executive Branch (FCEB) ایجنسیوں کو ہدایت دی ہے کہ وہ 20 نومبر 2025 تک تمام ضروری اپڈیٹس اور پیچز انسٹال کر کے اپنے نیٹ ورکس کو محفوظ بنائیں۔
جو تنظیمیں VMware Tools, Aria Operations یا XWiki استعمال کرتی ہیں، انہیں فوری طور پر اپڈیٹ کرنے، سسٹم لاگز کا جائزہ لینے اور کسی بھی مشکوک پرائیویلیج ایکسکیلیشن یا غیر معمولی سرگرمی پر نظر رکھنے کی سخت ضرورت ہے۔
اہم نکات
•CVE-2025-41244 VMware Tools اور Aria Operations میں روٹ لیول ایکسکیلیشن کی اجازت دیتا ہے۔
•یہ خامی چین سے تعلق رکھنے والے گروپ UNC5174 نے زیرو ڈے کے طور پر استعمال کی۔
•NVISO Labs نے اسے ایک انسیڈنٹ ریسپانس کے دوران دریافت کیا۔
•XWiki میں بھی ایک ریموٹ کوڈ ایکزیکیوشن والی خامی فعال طور پر استعمال ہو رہی ہے۔
•CISA نے 20 نومبر 2025 تک اپڈیٹس اور سیکیورٹی اقدامات مکمل کرنے کی ڈیڈ لائن مقرر کی ہے۔
اختتامی خیال
یہ واقعہ اس بات کا واضح ثبوت ہے کہ ورچوئلائزیشن اور سپلائی چین سے جڑے سیکیورٹی خطرات تیزی سے بڑھ رہے ہیں۔
ایسے میں تنظیموں کے لیے ضروری ہے کہ وہ فوری طور پر اپنے VMware اور XWiki سسٹمز کو اپڈیٹ کریں، لاگز کی مانیٹرنگ رکھیں اور CISA کی جانب سے جاری کردہ نئی سیکیورٹی وارننگز پر مسلسل نظر رکھیں۔
سورس
https://thehackernews.com/2025/10/cisa-flags-vmware-zero-day-exploited-by.html?m=1
