La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha añadido una vulnerabilidad recientemente revelada de VMware Aria Operations, rastreada como CVE-2026-22719 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) después de confirmar la explotación activa en la naturaleza. Se trata de una vulnerabilidad de inyección de comandos que permite la ejecución remota de código (RCE) sin autenticación en determinadas condiciones. VMware (Broadcom) publicó parches el 24 de febrero de 2026, pero los informes indican que los atacantes están aprovechando ahora el problema contra sistemas no parcheados. Se ha ordenado a los organismos civiles federales que corrijan la vulnerabilidad antes del 24 de marzo de 2026.

Detalles de la vulnerabilidad

    • CVE ID: CVE-2026-22719
    • Gravedad: CVSS 8.1 (Alta)
    • Tipo: Inyección de comandos no autenticada que conduce a la ejecución remota de código
    • Producto afectado: VMware Aria Operations (anteriormente vRealize Operations)
    • Condiciones de explotación: La vulnerabilidad es explotable durante la migración del producto asistida por soporte técnico
    • Impacto: Permite a los atacantes ejecutar comandos arbitrarios a nivel de sistema operativo en los sistemas afectados.

Broadcom afirma que el fallo puede ser desencadenado por un actor malintencionado no autenticado, permitiendo la ejecución de comandos arbitrarios que pueden llevar a un compromiso total de la plataforma.

 

Estado actual de la explotación -

    • CISA confirma que la vulnerabilidad está siendo explotada en ataques activos.
    • Broadcom reconoce los informes de explotación, pero señala que no puede verificarlos de forma independiente.
    • No se han revelado detalles técnicos públicos o PoCs de explotación a partir de las últimas actualizaciones.

Mitigación y parches

Parches

    • Las correcciones de seguridad se publicaron el 24 de febrero de 2026, bajo el aviso VMSA-2026-0001.

Solución temporal

Para organizaciones que no puedan actualizar inmediatamente:

    • Broadcom proporciona un script de mitigación:
      aria-ops-rce-workaround.sh, que debe ejecutarse con privilegios de root en cada nodo del dispositivo.
    • El script desactiva componentes en el flujo de trabajo de migración, incluyendo:
      • Eliminación de vmware-casa-migration-service.sh
      • Eliminación de la entrada sudoers que permite que vmware-casa-workflow.sh se ejecute como root sin contraseña.

Requisitos de CISA

    • Las agencias civiles federales deben parchear antes del 24 de marzo de 2026 de acuerdo con los mandatos de remediación CISA KEV.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente,póngase en contactoparaaveriguar cómo puede proteger su organización.

 

Contáctanos