Broadcom heeft een kwetsbaarheid in VMware gedicht die al een jaar bij aanvallen is gebruikt. Dat laat securitybedrijf Nviso in een analyse weten. Hoeveel organisaties slachtoffer van het beveiligingslek zijn geworden is onbekend. De kwetsbaarheid (CVE-2025-41244) maakt het mogelijk voor een lokale unprivileged gebruiker van een virtual machine (vm) om op dezelfde vm code als root uit te voeren.

Volgens Nviso maakt een groep aanvallers genaamd UNC5174 sinds oktober vorig jaar misbruik van de kwetsbaarheid in VMware Aria Operations en VMware Tools. Broadcom omschrijft Aria Operations als het "controlecentrum voor de gehele it-infrastructuur". Het wordt onder andere gebruikt voor het monitoren van VMware- en multi-cloud-omgevingen.

Nviso ontdekte CVE-2025-41244 afgelopen mei bij onderzoek naar een aanval UNC5174. Eind die maand werd het probleem aan Broadcom gerapporteerd, dat gisteren met beveiligingsupdates kwam. In het beveiligingsbulletin maakt Broadcom geen melding van actief misbruik. Nviso stelt dat aanvallers al sinds halverwege oktober 2024 de kwetsbaarheid bij aanvallen inzetten. Volgens verschillende bedrijven is UNC5174 een aan China gelieerde groep aanvallers.