Thought Leadership
Broadcom hat mehrere schwerwiegende Schwachstellen in VMware-Produkten geschlossen. Sicherheitsforscher vermuten, dass staatlich unterstützte Angreifer aus China die Lücken bereits seit längerem aktiv missbrauchen.
Der Software-Konzern Broadcom hat Sicherheitsupdates für VMware Aria Operations, VMware Tools und weitere Produkte bereitgestellt. Die behobenen Schwachstellen ermöglichen lokalen Angreifern eine Rechteausweitung bis hin zu administrativen Berechtigungen sowie den Zugriff auf sensible Daten. Die betroffenen Komponenten werden in Unternehmen zur Verwaltung und Überwachung virtueller Infrastrukturen eingesetzt.
Angriff erfordert lokalen Zugang
Für eine erfolgreiche Attacke benötigen Angreifer zunächst Zugang zu einer virtuellen Maschine mit eingeschränkten Berechtigungen. Wie Broadcom in seiner Sicherheitsmitteilung erklärt, können lokale Akteure ohne administrative Rechte auf VMs mit installiertem VMware Tools und aktiviertem SDMP-Feature in Aria Operations ihre Privilegien auf Root-Level erweitern.
Die Schwachstellen wurden von Broadcom mit einem CVSS-Wert von maximal 7,8 bewertet und als “wichtig” eingestuft.
Hinweise auf Zero-Day-Ausnutzung seit Oktober 2024
Das IT-Sicherheitsunternehmen NVISO, das die Schwachstellen entdeckte und meldete, stieß bei Untersuchungen auf Indizien für eine aktive Ausnutzung. Die Forscher identifizierten die Lücken im Rahmen mehrerer Vorfallanalysen, bei denen die chinesische APT-Gruppe UNC5174 als Urheber festgestellt wurde.
Laut NVISO-Bericht lässt sich die Ausnutzung der Zero-Day-Lücke mindestens bis Mitte Oktober 2024 zurückverfolgen. Die Zuordnung zu UNC5174 erfolgte mit hoher Sicherheit.
Allerdings stellen die Forscher eine interessante These auf: Wegen der simplen Natur der Schwachstelle sei unklar, ob die Ausnutzung gezielt oder unbeabsichtigt erfolgte. Maxime Thiebaut von NVISO CSIRT erläutert, dass die Angreifergruppe regelmäßig VMware-Systemprozesse nachahmt. Verschiedene Malware-Varianten könnten daher “versehentlich über Jahre hinweg von ungeplanten Rechteausweitungen profitiert haben”.
Ein funktionierender Exploit-Code ist mittlerweile öffentlich zugänglich. Die Forscher demonstrierten in einem Proof-of-Concept die vollständige Übernahme einer VM. Broadcom empfiehlt die umgehende Installation der Patches, da keine alternativen Schutzmaßnahmen existieren.
Ablauf eines möglichen Angriffs
Die Schwachstelle wurzelt im Service-Discovery-Mechanismus von VMware Aria Suite und Tools. Diese Komponenten durchsuchen VMs in regelmäßigen Intervallen von fünf Minuten nach laufenden Programmen und erfassen deren Versionen.
NVISO fand heraus, dass Angreifer ohne besondere Rechte ein schadhaftes Programm in öffentlich beschreibbare Verzeichnisse wie /tmp ablegen können. Beim nächsten automatischen Scan wird dieses Programm erkannt und zur Versionsabfrage mit Root-Rechten ausgeführt. Das vermeintliche Diagnoseprogramm verfügt nun über vollständige Systemrechte und kann Backdoors einrichten, Daten exfiltrieren oder die Kontrolle über die VM übernehmen.
Das grundlegende Problem liegt darin, dass VMware allen Programmen vertraut, die bestimmten Namensmustern entsprechen – unabhängig davon, wo sie gespeichert sind oder wem sie gehören. Ein Angreifer muss die schädliche Datei lediglich nach einem von VMware erkannten Dienst benennen.
Thiebaut formuliert es prägnant: “So simpel es klingt: Man benennt es, VMware eskaliert es.”
Ein typisches Beispiel aus der Praxis: Chinesische Angreifergruppen nutzen häufig Binärdateien mit dem Namen /tmp/httpd (HTTP-Daemon). Die VMware-Service-Discovery interpretiert diese als legitimen Webserver-Prozess und führt sie mit erweiterten Rechten aus – auch wenn dies ungewollt geschieht.
Die Forscher warnen, dass die Angreifergruppen vermutlich bereits Kenntnis von dieser Schwachstelle hatten. NVISO entdeckte entsprechende forensische Spuren im Mai 2025 und informierte Broadcom unverzüglich.
Zusätzliche Schwachstellen
Eine zweite Sicherheitslücke mit geringerem Schweregrad betrifft ebenfalls VMware Aria Operations. Sie erlaubt Angreifern ohne administrative Berechtigungen den Zugriff auf Zugangsdaten anderer Nutzer.
Die dritte Schwachstelle findet sich in VMware Tools für Windows. Sie ermöglicht Angreifern mit eingeschränkten Rechten den Zugriff auf andere Gast-VMs, nachdem sie initialen Zugang über vCenter oder ESXi erlangt haben. Voraussetzung ist die Kenntnis der Anmeldedaten der Ziel-VMs sowie der vCenter- oder ESXi-Zugangsdaten.
Die Sicherheitsupdates stehen ab sofort zur Verfügung. Administratoren sollten die Patches zeitnah einspielen.
