CVE-2025-41244 — VMware Aria Operations 권한 상승 취약점

CVE-2025-41244 — VMware Aria Operations 권한 상승 취약점 대응 보고서

1️⃣ 개요

CVE-2025-41244는 VMware Aria Operations와 VMware Tools 환경에서 비관리자(비특권) 사용자가 로컬 권한을 루트 수준으로 상승시킬 수 있는 취약점이다. 미국 CISA는 실제 공격 정황을 확인하고 해당 취약점을 악용 중인 알려진 취약점(KEV) 목록에 추가했다.

2️⃣ 원인

VMware Tools가 설치된 가상머신(VM)이 Aria Operations에 의해 SDMP(Server Discovery Management Pack) 기능으로 관리되는 경우, 내부 프로세스 간의 권한 검증이 불충분해 비특권 사용자가 루트 권한으로 명령을 실행할 수 있는 구조적 결함이 존재한다.

이 취약점은 vmtoolsd 프로세스의 자식 프로세스 생성 로직과 SDMP 스크립트 실행 경로에서 발생하며, 로컬 환경에서 간단한 스크립트 호출만으로도 악용이 가능하다.

3️⃣ 분석

• 악용 성공 시 VM 내 비특권 사용자가 루트 컨텍스트에서 코드 실행 가능
• 공격 난이도는 낮으며, 복잡한 인증이나 외부 연동 없이 내부 환경에서 실행 가능
• 포렌식 조사에서 /tmp/VMware-SDMP-Scripts-{UUID}/ 경로에 잔존 스크립트 및 로그 흔적 확인
• 비정상적인 vmtoolsd 프로세스의 자식 프로세스 실행이 주요 탐지 지표로 확인됨

# 의심 프로세스 탐지 예시
ps -ef | grep vmtoolsd
sudo find /tmp -type d -name "VMware-SDMP-Scripts-*"
sudo grep -R "get-versions.sh" /var/log

4️⃣ 조치

브로드컴은 2025년 9월 29일 보안 권고(VMSA-2025-0015)를 발표하고 다음 버전으로의 업데이트를 권고했다.

• Aria Operations → 8.18.5 이상
• VMware Tools (Windows) → 12.5.4 이상
• VMware Tools (Linux) → open-vm-tools 최신 버전
• Cloud Foundation, Telco Cloud Platform 등 관련 제품 패치

CISA는 모든 연방 기관에 2025년 11월 20일까지 패치 또는 완화조치 완료를 요구했다.

5️⃣ 결과

패치 적용 후 SDMP 기능 내 권한 검증 로직이 강화되어 루트 권한 상승 경로가 차단되었다. 취약한 버전을 운영 중이던 일부 기업은 포렌식에서 악성 스크립트 실행 흔적을 확인했으며, 이후 모니터링 정책을 강화했다.

6️⃣ 예방 및 권장사항

• Aria Operations 및 VMware Tools 최신 버전으로 즉시 업데이트
• SDMP 기능이 필수적이지 않다면 비활성화
• EDR·SIEM을 통한 vmtoolsd 이상 행위 탐지 규칙 추가
• /tmp 경로 내 의심 스크립트·파일 정기 점검
• 보안 패치 주기 점검 프로세스 수립 및 자동화

7️⃣ 기본 오류 대응 4단계

1. 1단계 — 외부 노출 확인: SDMP 관련 로그·스크립트 파일 점검
2. 2단계 — 역할 비활성화: 불필요한 SDMP 및 VMware Tools 기능 비활성화
3. 3단계 — 포트 및 서비스 차단: 외부 접근 가능한 관리 포트 제한
4. 4단계 — 로그 모니터링: vmtoolsd 행위 기반 탐지 룰 추가 및 실시간 모니터링

8️⃣ 결론

CVE-2025-41244는 실제 공격에 활용된 고위험 권한 상승 취약점으로, VMware 기반 가상화 환경 전반에 영향을 미친다. 관리자는 최신 패치 적용과 함께 행위 기반 탐지 규칙을 병행해야 하며, 불필요한 관리 기능은 비활성화하는 것이 바람직하다.

[관련 포스팅]

2025.11.03 - [IT 소식 뉴스/IT 소식] - CISA KEV 등재·VMware 로컬 권한 상승 취약점 분석

CISA KEV 등재·VMware 로컬 권한 상승 취약점 분석