CISA varuje před aktivně zneužívanou zranitelností ve VMware Aria Operations

Novinky Date: 3. březen 2026 Zobrazení: 4

CISA varuje před aktivně zneužívanou zranitelností ve VMware Aria Operations

Americká agentura pro kybernetickou bezpečnost CISA zařadila 4. března 2026 do katalogu známých zneužívaných zranitelností (KEV) kritickou chybu ve VMware Aria Operations. Zranitelnost CVE-2026-22719 umožňuje útočníkům bez nutnosti přihlášení spouštět libovolné příkazy a získat vzdálený přístup k systému. Broadcom potvrdil zprávy o aktivním zneužívání v reálném prostředí, přestože zatím nemůže nezávisle potvrdit ověřit jejich pravdivost.

Co je VMware Aria Operations a proč je důležité

VMware Aria Operations (dříve vRealize Operations) je platforma pro monitorování a správu IT infrastruktury, kterou využívají organizace po celém světě ke sledování výkonu serverů, sítí a cloudových prostředí. Poskytuje viditelnost napříč fyzickými, virtuálními a multi-cloudovými prostředími, umožňuje automatizovanou optimalizaci výkonu, plánování kapacity a zajištění compliance.

Pro správce kritické infrastruktury představuje tento nástroj centrální bod pro dohled nad provozem celého IT ekosystému. Kompromitace platformy může znamenat nejen ztrátu monitorovacích schopností, ale také vstupní bránu do celé řízené infrastruktury.

Podstata zranitelnosti

CVE-2026-22719 je command injection zranitelnost s hodnocením CVSS 8.1 (vysoká závažnost). Útočník bez jakékoliv autentizace může zneužít chybu během procesu migrace produktu za asistence podpory a spustit libovolné příkazy na zranitelném systému.

Podle bezpečnostního poradenství Broadcom VMSA-2026-0001 z 24. února 2026: "Škodlivý neautentizovaný aktér může tuto chybu zneužít ke spuštění libovolných příkazů, což může vést ke vzdálenému spuštění kódu ve VMware Aria Operations, zatímco probíhá migrace produktu s asistencí podpory."

Zranitelnost se týká následujících verzí VMware produktů: VMware Aria Operations verze 8.18.0 až 8.18.5 (opraveno ve verzi 8.18.6) a verze 9.0.0 až 9.0.1 (opraveno ve verzi 9.0.2), VMware Cloud Foundation a VMware vSphere Foundation verze 9.x.x.x (opraveno ve verzi 9.0.2.0), dále VMware Telco Cloud Infrastructure verze 4.0 až 5.2.2 (opraveno ve verzi 5.2.3) a VMware Telco Cloud Platform verze 2.0 až 5.2.2 (opraveno ve verzi 5.2.3).

Aktivní zneužívání v reálném prostředí

CISA přidala CVE-2026-22719 do KEV katalogu 3. března 2026 s poznámkou o aktivním zneužívání. Federální civilní vládní agentury v USA mají povinnost implementovat záplaty do 24. března 2026.

Broadcom v aktualizaci svého poradenství uvedl: "Broadcom si je vědom zpráv o potenciálním zneužívání CVE-2026-22719 v reálném prostředí, ale nemůžeme nezávisle potvrdit jejich validitu." Společnost dosud nezveřejnila technické detaily o tom, jak přesně je zranitelnost zneužívána, kdo za útoky stojí ani jaký je jejich rozsah.

Není zatím jasné, zda k útokům docházelo ještě před vydáním záplaty (tedy jako zero-day exploit) nebo až po zveřejnění informace o zranitelnosti 24. února. Pozitivní je, že Broadcom tentokrát operativně aktualizoval své bezpečnostní poradenství po obdržení informací o možném zneužívání – v minulosti čelil kritice za opožděné varování i v případech, kdy bylo zneužívání zranitelnosti známo delší dobu.

Doporučená opatření

Broadcom vydal bezpečnostní záplaty 24. února 2026. Organizace provozující VMware Aria Operations by měly co nejdříve aktualizovat na opravené verze uvedené v bezpečnostním poradenství VMSA-2026-0001.

Pro organizace, které nemohou okamžitě aplikovat záplatu, poskytuje Broadcom dočasné řešení formou shell scriptu. Postup zahrnuje stažení skriptu aria-ops-rce-workaround.sh, jeho zkopírování na každý uzel VMware Aria Operations Virtual Appliance a spuštění s právy root.

Kromě instalace záplat by organizace měly implementovat další ochranná opatření. Doporučuje se omezit přístup k rozhraním pro správu VMware Aria Operations pouze na důvěryhodné IP adresy a využít firewally nebo VPN k redukci vystavení útokům. Nasazení systémů pro detekci a prevenci průniků (IDS/IPS) s aktualizovanými signaturami může pomoci detekovat a blokovat pokusy o zneužití. Sledování logů z VMware Aria Operations je kritické pro včasnou detekci kompromitace – pozornost by měla být věnována neobvyklému spouštění příkazů, neoprávněné síťové aktivitě cílící na management porty a anomáliím během migračních oken.

Organizace by měly také provést důkladné posouzení zranitelnosti a penetrační testování, aby se ujistily, že neexistuje zbytkové vystavení riziku. Síťová segmentace oddělující management platformy od běžných uživatelských sítí může snížit riziko laterálního pohybu v případě úspěšného útoku.

Širší kontext

Zařazení CVE-2026-22719 do CISA KEV katalogu podtrhuje rostoucí pozornost regulátorů k VMware produktům jako cílům kybernetických útoků. VMware platformy jsou často využívány pro provoz kritické infrastruktury a jejich kompromitace může mít závažné dopady.

Vzhledem k tomu, že VMware Aria Operations poskytuje komplexní viditelnost do IT prostředí organizace, představuje úspěšný útok nejen přímé bezpečnostní riziko, ale může také posloužit jako odrazový můstek pro další pronikání do sítě. Útočníci s přístupem k monitorovací platformě mohou získat cenné informace o architektuře sítě, bezpečnostních kontrolách a potenciálních slabinách, které mohou dále zneužít.

Pro správce kritické infrastruktury je klíčové chápat, že monitoring a management platformy nejsou jen podpůrné nástroje, ale kritické bezpečnostní komponenty, které vyžadují stejnou úroveň ochrany jako samotné produkční systémy. Jejich kompromitace může mít kaskádové efekty napříč celým prostředím.