[KRCERT]Broadcom 제품 보안 업데이트 권고

내용 요약

Broadcom은 CVE‑2025‑41244(로컬 권한 상승)와 CVE‑2025‑41246(부적절한 권한 부여) 두 가지 취약점을 해결한 보안 패치를 발표했습니다.
영향을 받는 VMware Aria Operations, VMware Cloud Foundation, VMware Telco Cloud Platform/Infrastructure, VMware Tools 등은 최신 버전으로 즉시 업데이트해야 합니다.

---

핵심 포인트

• CVE‑2025‑41244: VMware Aria Operations & VMware Tools에서 사용자가 임의로 루트 권한을 획득할 수 있는 로컬 권한 상승 취약점.
• CVE‑2025‑41246: VMware Tools for Windows에서 사용자 액세스 제어가 부적절해 비권한 사용자가 시스템 권한을 얻을 수 있는 취약점.
• 해결 방안: 각 제품 별 지정 버전(예: 13.0.5, 8.18.5 등)으로 패치를 적용하거나 KB92148(보안 업데이트)를 설치해야 함.

---

기술 세부 내용

1️⃣ CVE‑2025‑41244: Local Privilege Escalation in VMware Aria Operations & VMware Tools

항목	상세 내용
공격 벡터	로컬(시스템에 물리적/원격 접속이 가능한 사용자)
취약점 원인	VMware Aria Operations 및 VMware Tools에서 세션 인증 토큰 처리 로직이 부적절. 특정 API 호출 시 토큰 검증을 우회할 수 있어 비권한 사용자가 root(또는 administrator) 권한을 획득 가능.
이상 동작	비권한 사용자 계정이 sudo 권한을 가진 명령어를 실행하거나, 가상 머신 파일을 수정, 중요한 설정을 변경할 수 있음.
공격 사례	1. 공격자는 물리적 서버 접근 후 VMware Tools를 설치하고, vcenter API를 통해 토큰을 탈취. 2. 토큰을 재사용해 root로 명령 실행.
영향받는 제품	• VMware Cloud Foundation / vSphere Foundation (9.x.x.x → 9.0.1.0) • VMware Aria Operations (8.x → 8.18.5) • VMware Tools (13.x.x.x → 13.0.5.0, 12.x.x → 12.5.4)
해결 버전	1. VMware Cloud Foundation: 9.0.1.0 (또는 9.0.2 이후). 2. VMware Aria Operations: 8.18.5. 3. VMware Tools: 13.0.5, 12.5.4.
패치 적용 절차	1. 다운로드 → Broadcom Support Portal에서 해당 버전의 패치(.zip 또는 .ova). 2. 배포 → 각 호스트에 패치 적용(예: esxcli software vib install –v /path/tool.vib). 3. 재부팅 → 변경사항 적용.
검증 방법	• esxcli system version get로 버전 확인. • vmware-toolbox-cmd -v로 Tools 버전 확인. • CVE‑NIST 페이지에서 취약점 점검 스크립트 실행(또는 OpenVAS).

---

2️⃣ CVE‑2025‑41246: Improper Privilege Escalation in VMware Tools for Windows

항목	상세 내용
공격 벡터	로컬 (Windows OS에 로그인한 사용자가 VMware Tools 설치 후).
취약점 원인	VMware Tools for Windows가 사용자 접근 제어(UAC)와 파일 권한을 제대로 처리하지 못해 SYSTEM 권한으로 실행되는 서비스가 비권한 사용자에게도 접근 가능.
이상 동작	비권한 사용자가 C:\Windows\System32\vmtoolsd.exe를 SYSTEM으로 실행해 VMs를 제어하거나, 가상 디스크 파일을 읽/쓰기.
공격 사례	1. 공격자는 Windows 머신에 로그인. 2. vmtoolsd.exe를 Run as Administrator 없이 실행. 3. 서비스가 SYSTEM 권한으로 작동, 가상 머신에 명령을 전달.
영향받는 제품	• VMware Cloud Foundation / vSphere Foundation (VMware Tools 13.x.x.x → 13.0.5.0, 12.x.x → 12.5.4)
해결 버전	VMware Tools 13.0.5, 12.5.4
패치 적용 절차	1. 다운로드 → VMware 공식 다운로드 센터에서 최신 Tools 설치 파일. 2. 재설치 → 기존 Tools 제거 후 새 버전 설치. 3. 재부팅 → Windows 및 가상 머신 재시작.
검증 방법	• wmic product get name,version 으로 Tools 버전 확인. • Windows 이벤트 로그에서 vmtoolsd 서비스가 SYSTEM으로 실행되는지 확인.

---

보안 업데이트 절차 한눈에

단계	작업	팁
1️⃣ 재해감지	Broadcom Support 페이지(https://support.broadcom.com/.../SecurityAdvisories/0/36149)에서 최신 보안 공지 확인.	공지에 포함된 KB 번호(예: KB92148)와 CVE 번호를 기록해 두세요.
2️⃣ 백업	가상 환경 설정, 스냅샷, 중요 파일 백업.	Pre‑Patch Snapshot을 꼭 저장해 두면 롤백이 수월합니다.
3️⃣ 패치 다운로드	Broadcom 또는 VMware 공식 사이트에서 해당 버전의 VIB(ESXi) 또는 ISO/EXE(Windows) 패치.	파일 무결성을 검증(sha256sum).
4️⃣ 테스트	Test Lab에서 패치를 적용해 정상 동작 여부 확인.	서비스 재시작, VM 연결 테스트, 로그 확인.
5️⃣ 프로덕션 적용	ESXi: esxcli software vib update -d /path/vib Windows: 설치 프로그램 실행 후 재부팅.	Maintenance Mode에서 적용하면 다운타임 최소화.
6️⃣ 검증	버전 확인, CVE 검증 스크립트 실행.	nvd.nist.gov에서 CVE 상세 페이지를 통해 재검증.
7️⃣ 모니터링	Aria Operations 대시보드에서 권한 상승 시도 탐지 여부 모니터링.	vmtoolsd 서비스 모니터링 알림 설정.

---

추가 자료 및 참고

리소스	URL
Broadcom 보안 공지	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36149
CVE‑2025‑41244 상세	https://nvd.nist.gov/vuln/detail/CVE-2025-41244
CVE‑2025‑41246 상세	https://nvd.nist.gov/vuln/detail/CVE-2025-41246
한국인터넷진흥원 사이버민원센터	118 (국번 없이)

---

마무리 체크리스트

• [ ] 모든 VMware 제품 버전 확인 – 9.0.1.0, 8.18.5, 13.0.5, 12.5.4 등 적합한 패치 적용 여부.
• [ ] 패치 적용 로그 보관 – 재발 방지와 감사 대응에 필요.
• [ ] 접근 제어 정책 재검토 – UAC, 파일 권한, 사용자 그룹 설정 강화.
• [ ] 보안 교육 – 현장 직원에게 로컬 권한 상승 위험성 및 방지법 교육.

이 가이드를 기반으로 보안 패치를 신속히 적용하시고, CVE‑2025‑41244와 CVE‑2025‑41246에 의한 잠재적 위험을 완전히 차단하세요.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6594