براڈکام نے وی ایم ویئر کی زیرو ڈے کمزوری کے استحصال پر خاموشی اختیار کی

NVISO لیبز کے مطابق وی ایم ویئر کی ایک سنگین کمزوری اکتوبر 2024 سے زیرو ڈے کے طور پر استحصال کی جا رہی تھی۔ یہ نقص CVE-2025-41244 کے نام سے رجسٹر کیا گیا ہے جس کا CVSS اسکور 7.8 ہے اور یہ VMware Aria Operations اور VMware Tools دونوں کو متاثر کرتا ہے۔

وی ایم ویئر کی پیرنٹ کمپنی براڈکام نے اس ہفتے اس نقص کے لیے پیچ جاری کیا ہے۔ کمپنی نے تصدیق کی کہ اس کمزوری کے ذریعے اٹیکرز کو یہ موقع مل سکتا ہے کہ وہ ان ورچوئل مشینز پر روٹ پرولیجز حاصل کر لیں جن پر VMware Tools انسٹال ہیں اور جو Aria Operations کے ساتھ SDMP فعال حالت میں چل رہی ہیں۔ تاہم کمپنی نے اس حقیقت کا ذکر نہیں کیا کہ اس نقص کا پہلے ہی اصل حملوں میں استعمال ہو رہا تھا۔

UNC5174 کی سرگرمیاں

NVISO کے مطابق UNC5174 نامی ایک چینی ریاستی حمایت یافتہ گروہ تقریباً ایک سال سے اس نقص کا فائدہ اٹھا رہا ہے۔ یہ گروہ حال ہی میں سیکیورٹی کمپنی SentinelOne پر حملے سے بھی منسلک کیا گیا ہے۔ NVISO کا کہنا ہے کہ یہ واضح نہیں کہ یہ ایکسپلائٹ UNC5174 کے ٹول کِٹ کا حصہ تھا یا پھر اس کی سادگی کی وجہ سے اسے محض اتفاقی طور پر استعمال کیا گیا۔

یہ کمزوری VMware Aria Operations کے سروس اور ایپلیکیشن ڈسکوری فیچر میں پائی گئی ہے۔ یہ فیچر دو طریقوں پر مشتمل ہے: ایک کریڈنشل بیسڈ ڈسکوری (جس میں VMware Tools بطور پراکسی کام کرتا ہے) اور دوسرا کریڈنشل لیس ڈسکوری (جس میں میٹرکس کلیکشن VMware Tools کے ذریعے ہوتا ہے)۔ NVISO نے تصدیق کی کہ یہ نقص دونوں طریقوں کو متاثر کرتا ہے۔

تکنیکی تفصیل

یہ مسئلہ open-vm-tools کو بھی متاثر کرتا ہے جو VMware Tools کا اوپن سورس ورژن ہے اور زیادہ تر لینکس ڈسٹری بیوشنز میں شامل ہوتا ہے۔ مسئلہ اس فنکشن سے جڑا ہے جو سروس ڈسکوری کے دوران استعمال ہوتا ہے۔ یہ فنکشن ریگولر ایکسپریشن پیٹرن کے ذریعے سروس بائنریز کی شناخت کرتا ہے۔ چونکہ یہ پیٹرن \S کی وسیع کلاس استعمال کرتا ہے، اس لیے یہ ان بائنریز کو بھی میچ کر لیتا ہے جو سسٹم کی نہیں ہوتیں اور وہ ڈائریکٹریز میں موجود ہوتی ہیں جہاں عام یوزرز کو لکھنے کی اجازت ہوتی ہے۔

اٹیکرز اس کمزوری کا فائدہ اٹھا سکتے ہیں اور اپنی میلویئر فائل ان ڈائریکٹریز میں رکھ سکتے ہیں۔ NVISO نے بتایا کہ UNC5174 نے اس طریقے سے /tmp/httpd فولڈر میں بائنریز رکھی تھیں۔ یہ بائنریز ایلیویٹڈ پرولیجز کے ساتھ رن ہو کر سسٹم پر رینڈم پورٹس کھولتی تھیں۔

تحفظ اور سراغ

براڈکام نے اس نقص کو دور کرنے کے لیے VMware Cloud Foundation، vSphere Foundation، Aria Operations، Telco Cloud Platform اور VMware Tools کے نئے ورژنز جاری کیے ہیں۔ open-vm-tools کے لیے اپ ڈیٹس لینکس ڈسٹری بیوٹرز فراہم کریں گے۔

ادارے اگر CVE-2025-41244 کے استحصال کو شناخت کرنا چاہتے ہیں تو انہیں غیر معمولی چائلڈ پروسیسز کی مانیٹرنگ کرنی چاہیے۔ اگر مانیٹرنگ دستیاب نہ ہو تو میٹرکس کلیکٹر کے باقی رہ جانے والے اسکرپٹس اور آؤٹ پٹس کا تجزیہ اس استحصال کی نشاندہی کر سکتا ہے۔

NVISO نے خبردار کیا ہے کہ سسٹم بائنریز کی نقل کرنا جیسے httpd، یہ ظاہر کرتا ہے کہ کئی میلویئر فیملیز برسوں سے اس قسم کے غیر ارادی پرولیج ایلیویشن کا فائدہ اٹھا رہی ہوں گی۔ چونکہ یہ مسئلہ open-vm-tools کے سورس کوڈ میں آسانی سے مل سکتا ہے، اس لیے ممکن ہے کہ یہ کئی اٹیکرز کی توجہ حاصل کر چکا ہو۔

سورس
https://www.securityweek.com/broadcom-fails-to-disclose-zero-day-exploitation-of-vmware-vulnerability/