En TecnetOne, queremos mantenerte al día con las amenazas de ciberseguridad más relevantes que podrían afectar a tu organización. Por eso, hoy te contamos sobre una grave vulnerabilidad recientemente parcheada en productos de Broadcom VMware, que ha sido explotada activamente como un día cero desde octubre de 2024 por un grupo de amenazas conocido como UNC5174.
El fallo de seguridad, identificado como CVE-2025-41244, tiene una puntuación de 7.8 en la escala CVSS, lo que lo clasifica como una vulnerabilidad de alta severidad. Se trata de un error de escalada de privilegios locales, lo que significa que, una vez dentro del sistema, un atacante podría elevar sus permisos y tomar el control completo del entorno afectado.
Este fallo impacta a múltiples versiones de productos VMware ampliamente utilizados en entornos empresariales, tanto en sistemas Windows como Linux:
VMware Cloud Foundation: 4.x, 5.x, 9.x.x.x, 13.x.x.x
VMware vSphere Foundation: 9.x.x.x, 13.x.x.x
VMware Aria Operations: 8.x
VMware Tools: 11.x.x, 12.x.x y 13.x.x
VMware Telco Cloud Platform: 4.x y 5.x
VMware Telco Cloud Infrastructure: 2.x y 3.x
La amplitud de versiones afectadas pone en evidencia el riesgo potencial para organizaciones que aún no han aplicado los parches de seguridad correspondientes.
Según explicó Maxime Thiebaut, investigador de seguridad en NVISO, explotar esta vulnerabilidad no es tan complicado como parece. Un atacante local sin privilegios puede colocar un binario malicioso en una ruta del sistema que coincida con los patrones de búsqueda utilizados por VMware. Una de las ubicaciones más comunes y fáciles de abusar (y que, de hecho, ya ha sido utilizada por el grupo UNC5174) es la carpeta temporal /tmp/httpd.
“Para que VMware detecte ese binario malicioso como parte de su sistema de descubrimiento de servicios, basta con que el archivo sea ejecutado por un usuario sin privilegios y que abra al menos un socket de escucha (aunque sea uno aleatorio)”, detalló Thiebaut.
Como parte de su análisis, NVISO también publicó un exploit de prueba de concepto (PoC) que muestra cómo se puede aprovechar la vulnerabilidad CVE-2025-41244 para escalar privilegios en sistemas que ejecutan versiones vulnerables de:
VMware Aria Operations (modo basado en credenciales)
VMware Tools (modo sin credenciales)
Este exploit demuestra que un atacante puede llegar a ejecutar código con privilegios de root dentro de la máquina virtual, lo que supone un riesgo muy alto si no se aplican las actualizaciones de seguridad.
Podría interesarte leer: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
En el mundo de la ciberseguridad, el nombre UNC5174 ha ganado notoriedad rápidamente. Según analistas de Google Mandiant, este grupo está vinculado al Ministerio de Seguridad del Estado (MSS) de China y, al parecer, opera como contratista para llevar a cabo operaciones de ciberespionaje altamente dirigidas.
En los últimos años, UNC5174 ha estado muy activo. A finales de 2023, los investigadores observaron cómo el grupo comprometía redes de contratistas de defensa de EE. UU., entidades gubernamentales del Reino Unido e instituciones en Asia, vendiendo posteriormente el acceso a esas redes. En muchos de esos ataques, explotaron una vulnerabilidad crítica en dispositivos F5 BIG-IP (CVE-2023-46747), que permitía la ejecución remota de código.
Pero eso fue solo el comienzo. En febrero de 2024, el grupo volvió a aparecer en los titulares al aprovechar la vulnerabilidad CVE-2024-1709 en ConnectWise ScreenConnect, con la que logró violar cientos de organizaciones en EE. UU. y Canadá.
Más recientemente, en mayo de 2025, se descubrió que UNC5174 estaba detrás de ataques que explotaban una vulnerabilidad crítica de carga de archivos no autenticada (CVE-2025-31324) en SAP NetWeaver Visual Composer, lo que les permitió ejecutar código malicioso en servidores vulnerables.
Y no han estado actuando solos. Otros grupos de amenazas vinculados a China, como Chaya_004, UNC5221 y CL-STA-0048, se sumaron a esta campaña, apuntando a más de 580 instancias de SAP NetWeaver, incluyendo sistemas críticos tanto en el Reino Unido como en Estados Unidos.
La actividad de UNC5174 también coincide con una serie de vulnerabilidades graves descubiertas en productos VMware. De hecho, Broadcom corrigió recientemente dos fallos críticos en VMware NSX reportados por la Agencia de Seguridad Nacional (NSA). Y en marzo, se parchearon tres vulnerabilidades de día cero (CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226), todas explotadas activamente, según información del Centro de Inteligencia de Amenazas de Microsoft.
Los ataques protagonizados por UNC5174 y otros grupos vinculados al Estado chino son un claro recordatorio de que la ciberseguridad ya no es opcional —es esencial. Las vulnerabilidades como CVE-2025-41244, explotadas en secreto durante meses, demuestran lo expuestos que pueden estar incluso los entornos más robustos si no se actúa a tiempo.
En TecnetOne, te recomendamos tomar medidas proactivas y no esperar a que una alerta de seguridad llegue a los titulares para reaccionar.
Aplica todos los parches disponibles: Asegúrate de que tus sistemas VMware estén actualizados con las últimas versiones. Broadcom ya ha publicado los parches necesarios para esta y otras vulnerabilidades recientes.
Revisa tu infraestructura en busca de actividad sospechosa: Utiliza herramientas de monitoreo, como el SOC de TecnetOne, para detectar comportamientos anómalos, binarios no autorizados y conexiones salientes inusuales.
Aísla los entornos vulnerables: Si no puedes aplicar los parches de inmediato, implementa controles de red para limitar el acceso a servicios críticos.
Implementa una política de privilegios mínimos: Reduce la superficie de ataque limitando los permisos de usuarios y servicios. Muchos de estos ataques dependen de cuentas mal configuradas o sin restricciones.
Evalúa tus herramientas de detección y respuesta (EDR/XDR): Asegúrate de contar con soluciones que te ayuden a identificar ataques en tiempo real, incluyendo exploits de día cero y actividad de APTs.
Haz auditorías de seguridad regulares: Evalúa tus sistemas y políticas con frecuencia. No basta con estar protegido hoy: hay que mantenerse protegido todos los días.
En resumen, este tipo de ataques no solo afecta a grandes corporaciones o gobiernos: cualquier organización que use software vulnerable está en riesgo. Estar informado, actuar con rapidez y tener una estrategia de ciberseguridad sólida puede marcar la diferencia entre una red segura y una brecha catastrófica.