A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) adicionou uma nova falha crítica da VMware ao seu catálogo de vulnerabilidades exploradas ativamente. A falha, registrada como CVE-2025-41244, afeta componentes do VMware Tools e do VMware Aria Operations, permitindo a elevação local de privilégios até o nível root. Com pontuação CVSS de 7,8, a vulnerabilidade pode ser explorada por atacantes que tenham acesso a uma máquina virtual onde o VMware Tools esteja instalado e gerenciado pelo Aria Operations com SDMP ativado.
Nessas condições, um invasor pode executar código com privilégios elevados, comprometendo totalmente o sistema. A falha foi inicialmente descoberta pela equipe da NVISO Labs durante uma investigação de resposta a incidentes. A análise técnica atribuiu o ataque ao grupo UNC5174, associado ao governo chinês, e revelou que a exploração da falha era simples e não exigia técnicas avançadas.
CISA confirmou que a vulnerabilidade já vinha sendo explorada como um zero-day desde outubro de 2024, antes da divulgação pública do patch. A Broadcom, responsável pelo VMware, liberou atualizações de segurança para corrigir o problema. Diante da gravidade da situação, a CISA determinou que todas as agências federais dos EUA apliquem as atualizações corretivas até o dia 20 de novembro de 2025. O objetivo é mitigar riscos de ataques e impedir que invasores explorem a falha em ambientes sensíveis.
