L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté à son catalogue de vulnérabilités exploitées connues (KEV) une vulnérabilité VMware Aria Operations récemment divulguée, répertoriée sous la référence CVE-2026-22719 , après avoir confirmé qu'elle était activement exploitée dans la nature. Il s'agit d'une vulnérabilité par injection de commande permettant l'exécution de code à distance non authentifié (RCE) dans certaines conditions. VMware (Broadcom) a publié des correctifs le 24 février 2026, mais des rapports indiquent que des attaquants exploitent maintenant le problème sur des systèmes non corrigés. Les agences civiles fédérales ont été mandatées pour remédier à la vulnérabilité avant le 24 mars 2026.

Détails de la vulnérabilité -

• CVE ID : CVE-2026-22719
• Gravité : CVSS 8.1 (élevé)
• Type : Injection de commande non authentifiée conduisant à l'exécution de code à distance : Injection de commande non authentifiée conduisant à l'exécution de code à distance
• Produit affecté : VMware Aria Operations (anciennement vRealize Operations)
• Conditions d'exploitation : La vulnérabilité est exploitable lors d'une migration de produit assistée par le support.
• Impact : Permet aux attaquants d'exécuter des commandes arbitraires au niveau du système d'exploitation sur les systèmes concernés.

Broadcom indique que la faille peut être déclenchée par un acteur malveillant non authentifié, permettant l'exécution de commandes arbitraires qui peuvent conduire à la compromission complète de la plate-forme.

État actuel de l'exploitation

• La CISA confirme que la vulnérabilité est exploitée dans le cadre d'attaques actives.
• Broadcom reconnaît les rapports d'exploitation mais note qu'elle ne peut pas les vérifier de manière indépendante.
• Aucun détail technique public ou PoC d'exploitation n'a été divulgué depuis les dernières mises à jour.

Atténuation et correctifs

Correctifs

• Les correctifs de sécurité ont été publiés le 24 février 2026, sous l'avis VMSA-2026-0001.

Solution de contournement temporaire

Pour les organisations qui ne sont pas en mesure d'effectuer une mise à jour immédiate :

• Broadcom fournit un script d'atténuation :
  aria-ops-rce-workaround.sh, à exécuter avec les privilèges root sur chaque nœud de l'appliance.
• Le script désactive des composants dans le flux de migration, y compris :
  • Suppression de vmware-casa-migration-service.sh
  • Suppression de l'entrée sudoers permettant à vmware-casa-workflow.sh de s'exécuter en tant que root sans mot de passe

Exigences de la CISA

• Les agences civiles fédérales doivent appliquer des correctifs avant le 24 mars 2026, conformément aux mandats de remédiation de la CISA KEV.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspoursavoir comment vous pouvez protéger votre organisation.