Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) đã đưa ra cảnh báo khẩn cấp về việc đang có các hoạt động khai thác lỗ hổng CVE leo thang đặc quyền nghiêm trọng, ảnh hưởng đến VMware Tools và VMware Aria Operations của Broadcom.

Lỗ hổng zero-day này, được theo dõi với mã định danh CVE-2025-41244, gây ra rủi ro đáng kể cho các tổ chức quản lý hạ tầng ảo hóa. Kẻ tấn công có thể giành quyền truy cập cấp độ root vào các hệ thống bị xâm nhập.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-41244

Bản Chất Lỗ Hổng Leo Thang Đặc Quyền

Lỗ hổng CVE-2025-41244 xuất phát từ việc xử lý đặc quyền không đúng cách trong VMware Tools.

Điều này xảy ra khi VMware Tools được triển khai cùng với VMware Aria Operations đã bật chức năng Software-Defined Management Platform (SDMP).

Cơ Chế Khai Thác Và Tác Động

Một tác nhân độc hại chỉ với quyền truy cập người dùng tiêu chuẩn vào một máy ảo có thể khai thác zero-day này.

Kẻ tấn công sử dụng các hành động không an toàn trong hệ thống định nghĩa đặc quyền để nâng quyền truy cập của mình lên cấp độ root trên cùng máy ảo đó.

Con đường leo thang đặc quyền này vượt qua các kiểm soát bảo mật truyền thống mà các tổ chức thường dùng.

Các kiểm soát này được thiết kế để kiểm soát các mối đe dọa cục bộ trong các môi trường ảo hóa bị cô lập.

Nguy Cơ Thực Tế Từ Lỗ Hổng Nghiêm Trọng

Cảnh báo khẩn cấp của CISA chỉ ra rằng các tác nhân đe dọa đã và đang tích cực tận dụng lỗ hổng CVE-2025-41244 trong các cuộc tấn công thực tế.

Độ phức tạp tấn công thấp và yêu cầu tối thiểu để khai thác khiến lỗ hổng CVE này trở nên đặc biệt nguy hiểm.

Nó chỉ yêu cầu quyền truy cập cục bộ mà không cần thông tin đăng nhập quản trị, một trường hợp phổ biến trong nhiều môi trường.

Điều này bao gồm các môi trường đa người thuê (multi-tenant), kịch bản lưu trữ chia sẻ (shared hosting) và các triển khai doanh nghiệp, nơi người dùng vận hành VM mà không có quyền nâng cao.

Tác Động Và Rủi Ro Bảo Mật

Mức Độ Nghiêm Trọng Và Hệ Quả

Việc kết hợp quyền truy cập cấp độ root và việc máy ảo bị xâm nhập tạo ra các con đường cho việc di chuyển ngang (lateral movement).

Điều này có thể dẫn đến các nỗ lực thoát khỏi hypervisor (hypervisor escape) và xâm nhập vào hạ tầng chia sẻ.

Các tổ chức quản lý hàng ngàn máy ảo thông qua các triển khai Aria Operations tập trung đối mặt với bề mặt tấn công lớn hơn theo cấp số nhân.

Đây là một mối đe dọa mạng tiềm tàng, cho phép kẻ tấn công chiếm quyền điều khiển toàn bộ hệ thống.

Các Môi Trường Bị Ảnh Hưởng Trực Tiếp

Lỗ hổng CVE này đặc biệt nguy hiểm đối với các tổ chức quản lý hạ tầng ảo hóa.

Bất kỳ hệ thống nào sử dụng VMware Tools cùng với VMware Aria Operations có bật SDMP đều có nguy cơ.

Khuyến Nghị Và Biện Pháp Khắc Phục Khẩn Cấp

Yêu Cầu Từ CISA Và Hạn Chót

Các tổ chức đang chạy các sản phẩm VMware bị ảnh hưởng phải hành động nhanh chóng để giảm thiểu rủi ro.

CISA đã thiết lập thời hạn bắt buộc là ngày 20 tháng 11 năm 2025 để áp dụng các bản vá bảo mật hoặc triển khai các biện pháp an ninh thay thế.

Cơ quan này yêu cầu các cơ quan liên bang tuân thủ chỉ thị hoạt động ràng buộc BOD 22-01.

CISA cũng khuyến nghị mạnh mẽ các nhà khai thác hạ tầng quan trọng, đặc biệt là những người quản lý dịch vụ đám mây, thực hiện các hành động tương tự.

Thông tin chi tiết về các lỗ hổng đã bị khai thác có thể được tìm thấy trong danh mục của CISA: Known Exploited Vulnerabilities Catalog.

Giải Pháp Tạm Thời Và Dài Hạn

Broadcom đã phát hành hướng dẫn bảo mật cho khách hàng, với các bản vá bảo mật dự kiến sẽ khắc phục các hành động không an toàn trong hệ thống đặc quyền.

Cho đến khi các bản vá bảo mật được triển khai, các tổ chức nên đánh giá các biện pháp giảm thiểu tạm thời.

• Hạn chế quyền truy cập cục bộ vào các máy ảo.
• Vô hiệu hóa chức năng SDMP khi có thể.
• Ngừng sử dụng VMware Aria Operations nếu không có đủ biện pháp giảm thiểu.

Ưu Tiên Vá Lỗi Và Giám Sát Liên Tục

Các nhóm bảo mật phải ưu tiên khám phá tài sản để xác định tất cả các hệ thống bị ảnh hưởng.

Cần thiết lập một lịch trình vá lỗi khẩn cấp phù hợp với thời hạn tháng 11 của CISA.

Lỗ hổng CVE này nhấn mạnh rủi ro dai dẳng từ các ngăn xếp ảo hóa phức tạp, nơi nhiều thành phần tương tác qua các ranh giới đặc quyền.

Các nhóm bảo mật nên ưu tiên liên lạc với các nhóm vận hành hạ tầng và đám mây để đẩy nhanh chu trình vá lỗi.

Với cửa sổ khai thác đang hoạt động và tính chất công khai của việc tiết lộ lỗ hổng CVE, các tổ chức trì hoãn khắc phục sẽ đối mặt với rủi ro bị xâm phạm cao hơn.