CISA KEV 등재·VMware 로컬 권한 상승 취약점 분석

CVE-2025-41244 — CISA KEV 등재·VMware 로컬 권한 상승 취약점 분석

요약

미국 사이버보안·인프라보안국(CISA)이 브로드컴(Broadcom)의 VMware 제품군에서 발견된 고위험 취약점 CVE-2025-41244를 악용 중인 알려진 취약점(KEV) 목록에 추가했다. 실제 공격 정황이 확인되자 연방 기관에 긴급 패치·완화 조치 완료를 요구한 조치다.

CISA는 연방 민간 행정부(FCEB) 소속 기관에 2025년 11월 20일까지 패치 적용 또는 필요한 완화조치를 완료하라고 통보했다.

취약점 개요

CVE-2025-41244는 가상머신(VM) 내부에서 비관리자(비특권) 사용자가 VMware Tools가 설치되어 있고, VMware Aria Operations(특히 SDMP — Server Discovery Management Pack) 기능으로 VM을 관리하는 환경에서 로컬 권한 상승(local privilege escalation)으로 루트 권한 획득이 가능한 결함이다.

브로드컴은 2025년 9월 29일자 보안 권고(VMSA-2025-0015)를 통해 본 취약점을 포함한 여러 문제에 대한 패치를 배포했으며, CVSS 점수는 7.8로 분류되어 높은 심각도로 간주된다.

발견·악용 경위

이 취약점은 보안업체 NVISO 랩스가 2024년 침해사고 대응 과정에서 처음 발견했고, 포렌식 분석 결과 해당 결함이 2024년 10월 중순부터 실제 공격에 사용된 정황이 포착되었다고 보고했다. NVISO와 보안연구자들의 분석은 실제 악용 흐름과 관련 잔존 스크립트 및 비정상 프로세스 패턴을 기반으로 수행되었다.

일부 보안업체는 이번 악용과 중국 연계 위협그룹 UNC5174의 연관 가능성을 제기했으나, 연구자들은 이 취약점의 악용이 해당 그룹의 기존 툴셋에 포함된 것인지 또는 단순히 악용이 쉬워 우연히 사용된 것인지는 확정하지 못하고 있다.

영향받는 제품·버전

• VMware Aria Operations 8.x 계열 (권장 업그레이드: 8.18.5 이상)
• VMware Tools (Windows / Linux) — Windows: 12.5.4 또는 12.4.9 이상 권장
• open-vm-tools 등 리눅스용 툴 관련 최신 버전 적용 권고
• VMware Cloud Foundation, VMware Telco Cloud Platform 등 일부 제품군도 영향 받을 수 있음

※ 정확한 영향 목록과 패치 버전은 브로드컴의 VMSA-2025-0015 및 각 제품의 릴리스 노트를 확인해야 한다.

포렌식·탐지 지표(IOC)

포렌식 및 위협분석에서 주목된 악용 지표는 다음과 같다. 보안 담당자는 EDR/로그에서 아래 항목을 중심으로 점검해야 한다.

• 비정상적 vmtoolsd 자식 프로세스 실행 — vmtoolsd 프로세스의 예기치 않은 자식 프로세스 생성 여부
• 임시 디렉터리 내 스크립트 잔존: /tmp/VMware-SDMP-Scripts-{UUID}/ 경로 및 내부 스크립트 흔적
• 특정 스크립트 실행 흔적: get-versions.sh 등 포렌식에서 반복적으로 관찰된 스크립트 이름
• 비정상적 권한 상승 흐름: 비특권 사용자의 프로세스가 루트 컨텍스트에서 실행되는 흔적

# 간단한 로그 검색 예시 (Linux)
# 1) vmtoolsd 관련 프로세스 관계 확인
ps -ef | grep vmtoolsd

# 2) /tmp 경로의 의심 디렉터리 검색
sudo find /tmp -maxdepth 3 -type d -name 'VMware-SDMP-Scripts-*' -ls

# 3) 최근 실행된 스크립트 또는 파일타임스탬프 확인
sudo grep -R "get-versions.sh" /var/log

권고(완화·패치 지침)

보안 전문가와 브로드컴 권고에 따른 권장 조치는 다음과 같다. 가능한 빠르게 패치를 적용하되, 패치 적용이 지연될 경우 임시 완화조치를 병행해야 한다.

• 즉시 패치: 브로드컴 VMSA-2025-0015의 권고에 따라 해당 제품군을 권장 버전으로 업데이트(Aria Operations 8.18.5+, VMware Tools 최신버전 등)
• SDMP 기능 고려: SDMP 기능이 필수적이지 않다면 비활성화하거나 최소 권한으로 제한
• 행위 기반 탐지 규칙 추가: EDR 및 SIEM에서 vmtoolsd의 비정상 동작(예: 비정상적 자식 프로세스, /tmp 스크립트 실행) 탐지 규칙 추가
• 임시 완화: 관리형 가상머신 내에서의 불필요한 툴 설치 제한, 접근 제어 강화, 강화된 모니터링
• 로그 및 포렌식 보존: 의심 정황 발견 시 관련 로그·메모리·디스크 덤프 보존 후 상세 분석

관련·동시 경고: XWiki eval 주입 취약점

CISA 공지에서는 XWiki 플랫폼의 eval 주입 취약점도 함께 경고되었다. 이 결함은 비로그인 게스트 사용자도 특정 엔드포인트(/bin/get/Main/SolrSearch)로 조작된 요청을 보내 원격 코드 실행(RCE)을 유발할 수 있으며, 보안업체 VulnCheck는 이를 이용한 암호화폐 채굴기 설치 시도가 다수 포착되었다고 보고했다.

따라서 VMware 패치 외에도 조직이 운영 중인 웹 플랫폼의 취약점 노출 상황을 동시에 점검하는 것이 권장된다.

운영기관·기업에 대한 권고

보안 전문가들은 다음을 우선 권장한다.

• VMware 툴즈와 Aria Operations의 전수 버전 조사 및 우선 패치 적용
• SDMP가 필수적이지 않다면 비활성화, 필요 시 최소 권한·네트워크 분리 적용
• EDR/SIEM 규칙으로 vmtoolsd·/tmp 스크립트·비정상 권한 상승 흐름을 모니터링
• 취약점 발견 즉시 패치 배포 프로세스와 행위 기반 탐지 체계를 강화

전문가 한마디

“관리형 가상화 환경에서의 로컬 권한 상승 취약점은 공격으로 연결되는 속도가 매우 빠릅니다. 취약점 발견 즉시 패치와 더불어 행위 기반 탐지 규칙을 함께 적용하는 것이 무엇보다 중요합니다.” — 보안연구원

결론

CVE-2025-41244의 CISA KEV 등재는 해당 결함이 실제 공격에 사용되었음을 의미하며, 운영자·보안담당자는 긴급하게 환경 점검과 패치·완화 조치를 수행해야 한다. 단일 제품군의 취약점이 가상화·클라우드 환경 전반으로 영향을 확산시킬 수 있으므로, 전사적 관점에서 취약점 관리·모니터링 체계를 재점검할 필요가 있다.