Broadcom’un VMware Tools ve VMware Aria Operations ürünlerinde kritik bir güvenlik açığı tespit edildi. CVE-2025-41244 olarak tanımlanan bu zafiyet, CVSS skoru 7.8 ile yüksek şiddette bir yerel ayrıcalık yükseltme açığıdır ve saldırganların hedef sistemde root yetkileri elde etmesine olanak tanıyabilir.

Açığın Teknik Detayları ve İstismar Yöntemleri

CISA tarafından yapılan açıklamada, bu güvenlik açığının VMware Tools yüklü ve SDMP (Secure Device Management Protocol) etkinleştirilmiş Aria Operations tarafından yönetilen sanal makinelerde (VM) kötü niyetli yerel kullanıcıların yönetici olmayan ayrıcalıklardan root seviyesine yükselme yapmasına izin verdiği belirtildi. Bu durum, MCP istemcisi gibi VMware bileşenlerinin yetkisiz işlemlerle etkileşime girmesi sonucu ortaya çıkmaktadır.

NVISO Labs, bu açığın Mayıs 2024’te bir olay müdahalesi sırasında keşfedildiğini ve Ekim 2024 ortasından itibaren Çin bağlantılı tehdit aktörü UNC5174 (Google Mandiant tarafından izlenen) tarafından aktif olarak zero-day istismarı şeklinde kullanıldığını raporladı. İstismar teknikleri arasında, konteynerlerin rastgele SSH portları üzerinden erişim sağlama ve Pydantic AI tabanlı otomatik analiz araçları ile zafiyetin hızlı tespiti yer alıyor olabilir. AsyncRAT gibi gelişmiş uzaktan erişim araçlarının da bu saldırı zincirinde kullanılma ihtimali değerlendiriliyor.

Ek Güvenlik Açıkları ve Tavsiyeler

KEV kataloğuna eklenen diğer bir kritik açık ise XWiki’deki eval enjeksiyon zafiyetidir. Bu açıklık, özel hazırlanmış isteklerle rastgele uzaktan kod yürütülmesine olanak tanımakta ve VulnCheck tarafından izlenen bilinmeyen aktörler tarafından kripto para madencisi yüklemek için kullanılmaya çalışılmaktadır.

Federal Sivil Yürütme Dalları (FCEB) kurumlarının, 20 Kasım 2025 tarihine kadar bu ve benzeri aktif tehditlere karşı ağlarını korumak için gerekli yamaları ve güvenlik önlemlerini uygulamaları zorunludur.

Siber güvenlik profesyonellerinin, VMware ortamlarında SDMP konfigürasyonlarını gözden geçirmeleri, MCP istemcisi erişimlerini sınırlandırmaları ve konteynerlerde rastgele SSH portlarının yönetimini sıkılaştırmaları önerilmektedir.