La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto al suo catalogo Known Exploited Vulnerabilities (KEV) una vulnerabilità di VMware Aria Operations, recentemente divulgata e classificata come CVE-2026-22719 , dopo averne confermato lo sfruttamento attivo in natura. La falla è una vulnerabilità di iniezione di comandi che consente l'esecuzione di codice remoto (RCE) non autenticato in determinate condizioni. VMware (Broadcom) ha rilasciato le patch il 24 febbraio 2026, ma le segnalazioni indicano che gli aggressori stanno sfruttando il problema contro i sistemi privi di patch. Le agenzie federali civili sono state incaricate di porre rimedio alla vulnerabilità entro il 24 marzo 2026.

Dettagli sulla vulnerabilità

• ID CVE: CVE-2026-22719
• Gravità: CVSS 8.1 (Alta)
• Tipo: Iniezione di comando non autenticata che porta all'esecuzione di codice remoto
• Prodotto interessato: VMware Aria Operations (precedentemente vRealize Operations)
• Condizioni di sfruttamento: La vulnerabilità è sfruttabile durante la migrazione del prodotto assistita dal supporto.
• Impatto: Consente agli aggressori di eseguire comandi arbitrari a livello di sistema operativo sui sistemi interessati.

Broadcom afferma che la falla può essere attivata da un malintenzionato non autenticato, consentendo l'esecuzione di comandi arbitrari che possono portare alla compromissione completa della piattaforma.

Stato attuale dell'exploit -

• Il CISA conferma che la vulnerabilità viene sfruttata in attacchi attivi.
• Broadcom riconosce le segnalazioni di sfruttamento, ma osserva di non poterle verificare in modo indipendente.
• A partire dagli ultimi aggiornamenti non sono stati divulgati dettagli tecnici pubblici o PoC di sfruttamento.

Mitigazione e patch

Le patch

• Le correzioni di sicurezza sono state rilasciate il 24 febbraio 2026, con l'advisory VMSA-2026-0001.

Soluzione temporanea

Per le organizzazioni che non sono in grado di aggiornare immediatamente:

• Broadcom fornisce uno script di mitigazione:
  aria-ops-rce-workaround.sh, da eseguire con privilegi di root su ciascun nodo dell'appliance.
• Lo script disabilita i componenti del flusso di lavoro della migrazione, tra cui:
  • rimozione di vmware-casa-migration-service.sh
  • Rimozione della voce sudoers che consente a vmware-casa-workflow.sh di essere eseguito come root senza password.

Requisiti CISA

• Le agenzie federali civili devono applicare le patch entro il 24 marzo 2026 in conformità con i mandati di bonifica CISA KEV.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoperscoprire come potete proteggere la vostra organizzazione.