A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta crítico nesta quinta-feira (30), adicionando uma falha de alta gravidade no VMware ao seu catálogo de vulnerabilidades ativamente exploradas. A vulnerabilidade, identificada como CVE-2025-41244, está sendo usada por hackers estatais chineses em ataques direcionados, representando um risco severo para ambientes corporativos virtualizados em todo o mundo.
A falha VMware CVE-2025-41244 afeta componentes do VMware Aria Operations e do VMware Tools, dois pilares amplamente presentes em infraestruturas de TI críticas. A CISA alerta que organizações públicas e privadas devem aplicar os patches de segurança imediatamente para evitar invasões com potencial de comprometimento total dos sistemas.
Embora a diretiva obrigue apenas agências federais dos EUA a corrigirem seus ambientes até 20 de novembro, o aviso funciona como um alerta global — especialmente para administradores e equipes de segurança que utilizam soluções da Broadcom, atual controladora da VMware.
O que é a vulnerabilidade CVE-2025-41244?
A CVE-2025-41244 é uma vulnerabilidade de escalonamento de privilégios local que afeta ambientes VMware Aria Operations integrados com o VMware Tools.
Na prática, essa falha permite que um usuário com acesso básico (não administrativo) dentro de uma máquina virtual (VM) explore a brecha para ganhar privilégios de root — ou seja, controle total do sistema operacional convidado.
Essa escalada de privilégios abre caminho para ações críticas, como a instalação de malwares persistentes, modificação de logs de auditoria, roubo de credenciais e movimentação lateral dentro da infraestrutura virtualizada.
A exploração, segundo especialistas, depende de algumas condições específicas:
- O VMware Tools deve estar instalado na VM vulnerável;
- O ambiente deve ser gerenciado pelo VMware Aria Operations;
- O módulo SDMP (Service Discovery and Monitoring Platform) precisa estar habilitado.
Mesmo com essas dependências, o alcance da vulnerabilidade é amplo, já que essas configurações são comuns em infraestruturas corporativas e ambientes de nuvem híbrida.
Hackers estatais em ação: o grupo UNC5174
A CISA confirmou que a CVE-2025-41244 está sendo explorada ativamente, descartando qualquer hipótese de ameaça teórica. O ataque foi atribuído ao grupo UNC5174, identificado pela Mandiant (subsidiária do Google Cloud) como um contratado do Ministério da Segurança do Estado da China (MSS).
De acordo com relatórios da NVISO, o grupo explora a falha desde meados de outubro de 2024, o que indica tratar-se de uma exploração de dia zero — ou seja, o uso do bug antes mesmo de a correção estar disponível publicamente.
O UNC5174 possui um histórico consistente de operações de espionagem cibernética e sabotagem industrial, incluindo ataques anteriores a produtos F5 BIG-IP e ConnectWise ScreenConnect, explorando vulnerabilidades similares para comprometer ambientes corporativos de alto valor.
Com a exploração confirmada e relatórios técnicos disponíveis em fontes de segurança confiáveis, o consenso entre especialistas é claro: a falha CVE-2025-41244 representa uma ameaça real e presente a qualquer ambiente que ainda não tenha sido atualizado.
A ordem da CISA e o que você deve fazer
A inclusão da CVE-2025-41244 no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) ativa automaticamente uma obrigação legal para que todas as agências federais civis dos EUA (FCEB) realizem a correção conforme a Diretiva Operacional Vinculativa (BOD) 22-01.
Em seu comunicado, a CISA enfatizou que, embora a diretiva se aplique a órgãos do governo dos EUA, todas as organizações devem considerar a falha como prioridade máxima.
A Broadcom já liberou patches de segurança há cerca de um mês, cobrindo as versões afetadas do VMware Aria Operations e do VMware Tools. Não há mitigação alternativa disponível — a única forma segura de eliminar o risco é aplicar imediatamente as atualizações fornecidas.
Administradores devem também:
- Verificar se o SDMP está ativo em suas instâncias e avaliar a necessidade de desabilitá-lo temporariamente;
- Implementar políticas de least privilege (privilégios mínimos) para usuários de VMs;
- Monitorar logs e tráfego de rede em busca de atividades suspeitas de escalonamento interno;
- Revisar comunicações de gerenciamento remoto e APIs expostas.
Essas medidas, combinadas com a atualização oficial, reduzem drasticamente as chances de comprometimento e limitam a superfície de ataque explorável pelo UNC5174 e outros grupos cibernéticos avançados.
Conclusão: risco elevado exige ação rápida
A falha VMware CVE-2025-41244 expõe um risco imediato para organizações que dependem de infraestruturas virtualizadas, especialmente em ambientes corporativos e governamentais. O fato de o bug estar sendo ativamente explorado por um grupo de hackers estatais chineses reforça a urgência da resposta.
Em resumo, trata-se de uma falha crítica de escalonamento de privilégios, já conhecida, documentada e com correção disponível. A CISA foi categórica: não aplicar o patch é assumir o risco de comprometimento total.
Administradores de sistemas e equipes de segurança devem agir agora — verificando suas instâncias do VMware Aria Operations e VMware Tools, aplicando as atualizações da Broadcom e reforçando políticas de acesso.
O tempo é um fator decisivo: cada dia sem correção é uma oportunidade para o invasor.
