Aanvallers maken actief misbruik van een kwetsbaarheid in VMware Aria Operations en VMware Tools waarvoor vorige maand een beveiligingsupdate verscheen, zo meldt het Amerikaanse cyberagentschap CISA. Securitybedrijf Nviso liet eerder weten dat het beveiligingslek al een jaar bij aanvallen is gebruikt. Broadcom omschrijft Aria Operations als het "controlecentrum voor de gehele it-infrastructuur". Het wordt onder andere gebruikt voor het monitoren van VMware- en multi-cloud-omgevingen.

De kwetsbaarheid (CVE-2025-41244) maakt het mogelijk voor een lokale unprivileged gebruiker van een virtual machine (vm) om op dezelfde vm code als root uit te voeren. Nviso ontdekte CVE-2025-41244 afgelopen mei bij een onderzoek naar een aanval door een groep aanvallers genaamd UNC5174. Eind die maand werd het probleem aan Broadcom gerapporteerd, dat op 29 september met beveiligingsupdates kwam.

In het beveiligingsbulletin maakte Broadcom in eerste instantie geen melding van actief misbruik. Nviso stelde dat aanvallers al sinds halverwege oktober 2024 de kwetsbaarheid bij aanvallen inzetten. Broadcom heeft nu aan het beveiligingsbulletin toegevoegd dat het informatie heeft ontvangen waaruit blijkt dat misbruik van CVE-2025-41244 "in het wild" heeft plaatsgevonden. Volgens verschillende bedrijven is UNC5174 een aan China gelieerde groep aanvallers.

Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale overheidsinstanties opgedragen de VMware-update voor 20 november te installeren.