Aktive Ausnutzung der VMware Aria Operations Command Injection-Schwachstelle

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine neu entdeckte Sicherheitslücke in VMware Aria Operations (CVE-2026-22719 ) in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen, nachdem eine aktive Ausnutzung in freier Wildbahn bestätigt wurde. Bei der Schwachstelle handelt es sich um eine Befehlsinjektionsschwachstelle, die unter bestimmten Bedingungen eine unautorisierte Remotecodeausführung (RCE) ermöglicht. VMware (Broadcom) hat am 24. Februar 2026 Patches veröffentlicht, doch Berichten zufolge nutzen Angreifer die Schwachstelle nun gegen ungepatchte Systeme aus. Zivile Bundesbehörden wurden angewiesen, die Sicherheitslücke bis zum 24. März 2026 zu beheben.

Details zur Sicherheitsanfälligkeit -

• CVE-ID: CVE-2026-22719
• Schweregrad: CVSS 8.1 (Hoch)
• Typ: Unauthentifizierte Befehlsinjektion, die zu entfernter Codeausführung führt
• Betroffenes Produkt: VMware Aria Operations (ehemals vRealize Operations)
• Bedingungen für die Ausnutzung: Die Sicherheitsanfälligkeit kann während einer vom Support unterstützten Produktmigration ausgenutzt werden.
• Auswirkungen: Ermöglicht Angreifern die Ausführung beliebiger Befehle auf Betriebssystemebene auf betroffenen Systemen.

Broadcom gibt an, dass die Schwachstelle von einem böswilligen, nicht authentifizierten Akteur ausgelöst werden kann, wodurch die Ausführung beliebiger Befehle ermöglicht wird, die zu einer vollständigen Kompromittierung der Plattform führen können.

Aktueller Ausnutzungsstatus -

• Die CISA bestätigt, dass die Schwachstelle in aktiven Angriffen ausgenutzt wird.
• Broadcom bestätigt Berichte über die Ausnutzung der Schwachstelle, kann diese jedoch nicht unabhängig verifizieren.
• Seit den letzten Updates wurden keine öffentlichen technischen Details oder Exploit PoCs bekannt gegeben.

Entschärfung & Patching

Patches

• Sicherheitsfixes wurden am 24. Februar 2026 unter dem Advisory VMSA-2026-0001 veröffentlicht.

Vorübergehende Abhilfe

Für Unternehmen, die nicht sofort aktualisieren können:

• Broadcom stellt ein Abhilfeskript zur Verfügung:
  aria-ops-rce-workaround.sh, das mit Root-Rechten auf jedem Appliance-Knoten ausgeführt werden muss.
• Das Skript deaktiviert die Komponenten des Migrations-Workflows, einschließlich:
  • Entfernung von vmware-casa-migration-service.sh
  • Entfernung des sudoers-Eintrags, der die Ausführung von vmware-casa-workflow.sh als root ohne Passwort ermöglicht

CISA-Anforderungen

• Zivile Bundesbehörden müssen bis zum 24. März 2026 Patches gemäß den CISA KEV-Anforderungen installieren.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer. Alternativ könnenSiesichauchmit uns in Verbindung setzen, umzu erfahren, wie Sie Ihr Unternehmen schützen können.