U.S. Cybersecurity and Infrastructure Security Agency (CISA) har lagt till en nyligen avslöjad VMware Aria Operations-sårbarhet, spårad som CVE-2026-22719 till sin Known Exploited Vulnerabilities (KEV) -katalog efter att ha bekräftat aktivt utnyttjande i naturen. Sårbarheten är en kommandoinjektionssårbarhet som möjliggör oautentiserad fjärrkörning av kod (RCE) under vissa förhållanden. VMware (Broadcom) släppte korrigeringar den 24 februari 2026, men rapporter tyder på att angripare nu utnyttjar problemet mot system som inte är korrigerade. Federala civila myndigheter har fått i uppdrag att åtgärda sårbarheten senast den 24 mars 2026.

Detaljer om sårbarheten -

    • CVE ID: CVE-2026-22719
    • Allvarlighetsgrad: CVSS 8.1 (hög)
    • Typ av sårbarhet: Oidentifierad kommandoinjektion som leder till fjärrkörning av kod
    • Berörd produkt: VMware Aria Operations (tidigare vRealize Operations)
    • Villkor för utnyttjande: Sårbarheten kan utnyttjas under supportassisterad produktmigrering
    • Påverkan: Gör det möjligt för angripare att utföra godtyckliga kommandon på OS-nivå på berörda system.

Broadcom uppger att bristen kan utlösas av en illvillig oautentiserad aktör, vilket möjliggör exekvering av godtyckliga kommandon som kan leda till fullständig plattformskompromittering.

 

Nuvarande status för exploatering -

    • CISA bekräftar att sårbarheten utnyttjas i aktiva attacker.
    • Broadcom bekräftar rapporter om exploatering men noterar att de inte kan verifiera dem på egen hand.
    • Inga offentliga tekniska detaljer eller exploaterings-PoC:er har avslöjats vid de senaste uppdateringarna.

Begränsning och patchning

Patchar

    • Säkerhetsfixar släpptes den 24 februari 2026, under råd VMSA-2026-0001.

Temporär lösning

För organisationer som inte kan uppdatera omedelbart:

    • Broadcom tillhandahåller ett begränsningsskript:
      aria-ops-rce-workaround.sh, som ska köras med root-behörighet på varje apparatnod.
    • Skriptet inaktiverar komponenter i migreringsarbetsflödet, inklusive:
      • Borttagning av vmware-casa-migration-service.sh
      • Borttagning av sudoers-post som gör att vmware-casa-workflow.sh kan köras som root utan lösenord

CISA-krav

    • Federala civila myndigheter måste patcha senast den 24 mars 2026 i enlighet med CISA KEV-saneringsmandat.

Om du är orolig för något av de hot som beskrivs i den här bulletinen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kontoansvarige, eller alternativtkontaktaoss föratttaredapå hur du kan skydda din organisation.

 

Kontakta oss