CISA adiciona vulnerabilidade crítica no VMware Aria Operations à lista de falhas ativamente exploradas
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) incluiu uma falha crítica que atinge o VMware Aria Operations, solução da Broadcom, em seu catálogo de Known Exploited Vulnerabilities (KEV). A presença nessa lista significa que a vulnerabilidade deixou de ser apenas um risco teórico e já está sendo utilizada em ataques reais por cibercriminosos.
A falha principal foi catalogada como CVE-2026-22719 e recebeu pontuação 8,1 no sistema CVSS, o que a coloca na categoria de alta gravidade. Trata-se de uma vulnerabilidade de injeção de comandos que permite a um invasor executar comandos arbitrários de forma remota, sem necessidade de autenticação. Em outras palavras, um atacante, mesmo sem credenciais válidas, pode interagir diretamente com o sistema e, em cenários específicos, assumir o controle do ambiente afetado.
Segundo comunicado oficial da Broadcom, um agente malicioso não autenticado pode explorar essa brecha para enviar comandos ao sistema operacional subjacente, o que pode resultar em execução remota de código (RCE). O risco é especialmente elevado em ambientes que utilizam o VMware Aria Operations em processos de migração assistida, momento em que a superfície de ataque e a complexidade operacional tendem a aumentar.
A correção para a CVE-2026-22719 foi disponibilizada no final do mês passado, em um pacote que também aborda outras duas vulnerabilidades relevantes na mesma família de produtos:
– CVE-2026-22720 – vulnerabilidade de cross-site scripting (XSS) armazenado, que permite a injeção de código malicioso em páginas acessadas por outros usuários;
– CVE-2026-22721 – falha de escalonamento de privilégios, que pode permitir que um invasor obtenha permissões administrativas dentro do sistema.
Essas falhas impactam especificamente os seguintes produtos VMware:
– VMware Cloud Foundation e VMware vSphere Foundation 9.x – com correção disponível a partir da versão 9.0.2.0;
– VMware Aria Operations 8.x – com correção disponibilizada na versão 8.18.6.
A decisão da CISA de inserir a CVE-2026-22719 no catálogo KEV indica que já existem evidências concretas de exploração em campo. Esse catálogo funciona como uma lista de prioridade máxima: falhas listadas ali são consideradas comprovadamente ativas em campanhas de ataque e exigem resposta imediata das organizações.
Apesar da confirmação de exploração ativa, ainda não foram divulgados detalhes públicos sobre quais grupos estão explorando a vulnerabilidade, quais setores ou empresas foram atingidos ou qual a dimensão dos incidentes observados até o momento. A própria Broadcom informou ter recebido relatos sobre uso real da falha, mas declarou que ainda não conseguiu validar de forma independente todas as atividades reportadas.
Diante do potencial impacto, a CISA determinou que todas as agências federais dos Estados Unidos devem aplicar os patches de segurança até 24 de março de 2026. Esse tipo de prazo rígido sinaliza o nível de preocupação do órgão regulador e costuma servir de referência também para empresas privadas, que frequentemente adotam as mesmas datas-alvo como boas práticas internas.
Para organizações que, por motivos operacionais, ainda não conseguem aplicar as atualizações definitivas, a VMware disponibilizou uma mitigação temporária. Administradores podem executar o script aria-ops-rce-workaround.sh com privilégios de root em cada nó do appliance virtual do Aria Operations. Essa medida não substitui o patch, mas reduz significativamente a possibilidade de exploração enquanto a correção completa não é implantada.
Especialistas em segurança alertam que vulnerabilidades com exploração ativa tendem a ser rapidamente incorporadas em kits de ataque e ferramentas automatizadas, o que amplia o número de agentes capazes de explorá-las, inclusive atacantes com baixo nível técnico. Por isso, manter esses sistemas expostos por muito tempo sem atualização aumenta de forma expressiva o risco de incidentes graves.
Além da aplicação do patch, recomenda-se que equipes de segurança revisem os logs do VMware Aria Operations e de infraestrutura relacionada em busca de sinais de atividade anômala. Tentativas de execução de comandos incomuns, conexões vindas de endereços IP suspeitos ou acessos fora do padrão de horário podem indicar uma tentativa – bem-sucedida ou não – de exploração da CVE-2026-22719.
Outro ponto de atenção é o contexto de uso do Aria Operations. Como a falha mostra um risco maior durante processos de migração assistida, é fundamental que projetos de migração em andamento sejam reavaliados. Organizações devem verificar se o ambiente já está na versão corrigida antes de dar continuidade a migrações ou expansões de infraestrutura, reduzindo a chance de abrir brechas durante atividades críticas.
A presença simultânea de falhas de injeção de comandos, XSS armazenado e escalonamento de privilégios cria um cenário particularmente perigoso. Em um ataque em cadeia, um invasor pode, por exemplo, explorar inicialmente o XSS para roubar sessões ou executar ações em nome de usuários legítimos, usar em seguida a vulnerabilidade de execução remota de código para ganhar presença no servidor e, por fim, abusar da falha de escalonamento de privilégios para obter controle administrativo total.
Empresas que utilizam VMware Cloud Foundation, vSphere Foundation ou Aria Operations devem fazer um inventário rápido para identificar quais instâncias estão em versões vulneráveis. Ambientes de teste, desenvolvimento ou laboratórios muitas vezes são esquecidos nos planos de atualização, mas podem servir como porta de entrada para a rede corporativa se estiverem conectados a outros sistemas.
Do ponto de vista de governança, o caso reforça a importância de manter um processo formal de gestão de vulnerabilidades. Isso envolve monitorar continuamente boletins de fabricantes, priorizar correções com base em criticidade e exposição, e acompanhar listas como o KEV da CISA para identificar rapidamente falhas que já estejam sendo exploradas.
Também é recomendável combinar a aplicação do patch com controles adicionais, como:
– segmentação de rede para isolar o Aria Operations de sistemas não essenciais;
– restrição de acesso administrativo somente a endereços IP confiáveis;
– uso de autenticação multifator para consoles de gerenciamento;
– monitoramento contínuo por soluções de detecção de intrusão e EDR, quando aplicável.
Para organizações que operam em ambientes híbridos ou multicloud, onde o VMware Aria Operations costuma ser uma peça central de observabilidade e gerenciamento, a indisponibilidade para atualização pode parecer um obstáculo. Ainda assim, o risco de manter uma vulnerabilidade ativamente explorada em produção tende a superar o impacto temporário de uma janela de manutenção programada.
Por fim, o incidente ilustra um padrão que se repete no ecossistema de cibersegurança: soluções de gestão e orquestração de infraestrutura, por terem alto nível de privilégio e ampla visibilidade do ambiente, são alvos particularmente atrativos para atacantes. A proteção desses componentes deve ser tratada como prioridade estratégica, com atualizações rápidas, monitoramento reforçado e políticas de acesso rigorosas, sobretudo quando uma falha entra para o seleto – e preocupante – grupo de vulnerabilidades ativamente exploradas.