CISA adiciona falha crítica no VMware Aria Operations ao catálogo de vulnerabilidades ativamente exploradas
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) incluiu recentemente uma vulnerabilidade grave do VMware Aria Operations, solução da Broadcom, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (Known Exploited Vulnerabilities – KEV). Essa decisão indica que a falha já está sendo utilizada em ataques reais e aumenta o nível de alerta para empresas que dependem da plataforma em seus ambientes de TI.
A vulnerabilidade, rastreada como CVE-2026-22719 e classificada com pontuação CVSS 8,1, trata-se de uma falha de injeção de comandos. Em termos práticos, isso significa que um invasor remoto, sem qualquer tipo de autenticação, pode enviar comandos maliciosos ao sistema e conseguir executá-los como se fosse um usuário legítimo. Esse cenário abre caminho para execução remota de código (RCE), comprometendo por completo o ambiente afetado.
Segundo comunicado da própria Broadcom, a exploração da CVE-2026-22719 é especialmente crítica em contextos de migração assistida do VMware Aria Operations. Nesses processos, o sistema fica mais exposto, e um atacante não autenticado pode explorar a brecha para disparar comandos no appliance virtual, assumindo controle do sistema ou inserindo portas de acesso persistentes para futuras invasões.
Essa falha não veio sozinha. Ela foi corrigida no fim do mês passado em um pacote que também tratou de outras duas vulnerabilidades relevantes:
– CVE-2026-22720 – vulnerabilidade de cross-site scripting (XSS) armazenado, que pode permitir a injeção de scripts maliciosos em páginas acessadas por outros usuários;
– CVE-2026-22721 – falha de escalonamento de privilégios, que possibilita a um usuário com acesso limitado obter privilégios administrativos.
Essas três vulnerabilidades impactam, em especial, os seguintes produtos da VMware:
– VMware Cloud Foundation e VMware vSphere Foundation 9.x – corrigidos na versão 9.0.2.0;
– VMware Aria Operations 8.x – corrigido na versão 8.18.6.
A presença da CVE-2026-22719 no catálogo KEV é um sinal claro de que há evidências de exploração no mundo real. O KEV não lista vulnerabilidades apenas por gravidade teórica: ele é focado em falhas que já foram observadas em uso por cibercriminosos. Isso transforma a atualização de segurança de uma simples recomendação em uma verdadeira urgência operacional.
Embora a CISA tenha confirmado a exploração ativa, ainda não foram divulgados detalhes públicos sobre quais grupos de ameaças estão envolvidos, o perfil das organizações já comprometidas ou a escala exata dos ataques. A Broadcom informou que recebeu relatos indicando possível uso da vulnerabilidade em campanhas maliciosas, mas declarou que ainda não conseguiu validar de maneira independente todas essas ocorrências.
Diante do potencial de impacto, a CISA determinou um prazo específico para órgãos federais norte-americanos: todas as correções relacionadas a essa vulnerabilidade devem ser aplicadas até 24 de março de 2026. Esse tipo de prazo, estabelecido por uma agência governamental, costuma servir como referência também para o setor privado, que passa a perceber a gravidade do problema e a necessidade de acelerar seus próprios cronogramas de atualização.
Para ambientes em que a aplicação imediata do patch não é viável – algo comum em grandes infraestruturas, em que interrupções precisam ser cuidadosamente planejadas – a VMware disponibilizou uma mitigação temporária. Os administradores podem executar, com privilégios de root, o script aria-ops-rce-workaround.sh em cada nó do appliance virtual do Aria Operations. Esse procedimento não substitui a atualização definitiva, mas reduz temporariamente a superfície de ataque até que o patch oficial seja aplicado.
Especialistas em segurança alertam que vulnerabilidades já confirmadas como ativamente exploradas tendem a ser rapidamente incorporadas a kits de ataque e ferramentas automatizadas, muitas delas usadas por atacantes com pouco conhecimento técnico. Assim, o intervalo entre a divulgação pública da falha e sua massificação em campanhas automatizadas costuma ser curto. Por isso, adiar a correção aumenta significativamente o risco de comprometimento.
Para as organizações que utilizam o VMware Aria Operations, VMware Cloud Foundation ou VMware vSphere Foundation, algumas ações são consideradas prioritárias:
1. Inventariar rapidamente quais versões dos produtos estão em uso e identificar se há instâncias expostas à internet ou interligadas a redes sensíveis.
2. Aplicar as atualizações oficiais assim que possível, priorizando ambientes de produção e sistemas diretamente conectados a redes externas.
3. Implementar a mitigação temporária fornecida pela VMware nos casos em que a atualização imediata não puder ser executada.
4. Monitorar logs e eventos de segurança em busca de indícios de exploração, como execução incomum de comandos, atividades fora do padrão ou acessos suspeitos.
5. Reforçar mecanismos de segmentação de rede, reduzindo a possibilidade de movimentação lateral caso um sistema venha a ser comprometido.
É importante ressaltar que, em cenários de execução remota de código sem autenticação, um invasor pode não apenas acessar dados sensíveis, mas também instalar backdoors, criar novos usuários administrativos, apagar rastros e utilizar a infraestrutura da vítima para novos ataques, inclusive contra terceiros. Isso amplia a responsabilidade jurídica e reputacional das empresas que negligenciam atualizações críticas.
Do ponto de vista de governança de segurança, o caso da CVE-2026-22719 reforça a necessidade de processos maduros de gestão de vulnerabilidades. Não basta apenas contar com ferramentas de varredura: é essencial ter um fluxo bem definido de priorização de correções, com base em fatores como gravidade, exposição, evidência de exploração e criticidade dos ativos afetados. Falhas incluídas em listas como o KEV devem, na prática, ganhar prioridade máxima nos planos de resposta.
Outro ponto relevante é a comunicação interna. Equipes de infraestrutura, segurança da informação, desenvolvimento e gestão de riscos precisam atuar de forma coordenada. Muitas vulnerabilidades de soluções de gerenciamento, como o VMware Aria Operations, impactam justamente os ambientes que sustentam serviços críticos de negócio. Qualquer atraso ou erro na aplicação de patches pode resultar em interrupções, vazamentos de dados ou até extorsão por meio de ransomware.
A publicação dessa vulnerabilidade também serve como alerta para a revisão de políticas de exposição de ferramentas de administração. Sempre que possível, consoles de gerenciamento devem ser acessíveis apenas por redes internas ou por VPNs devidamente protegidas, nunca diretamente expostas à internet. Esse simples cuidado reduz consideravelmente a chance de exploração por atacantes oportunistas que varrem a rede em busca de portas e serviços vulneráveis.
Para organizações que atuam em setores regulados – como financeiro, saúde, energia ou telecomunicações -, incidentes envolvendo falhas conhecidamente exploradas podem ter consequências ainda mais severas, incluindo sanções regulatórias e questionamentos de clientes e parceiros. Demonstrar que medidas tempestivas foram adotadas para mitigar riscos é parte essencial de uma postura de conformidade e de boa governança.
Em um cenário em que ataques a cadeias de suprimentos digitais e a ferramentas de gestão de infraestrutura se tornam cada vez mais comuns, episódios como esse enfatizam a importância de acompanhar notas de segurança de fornecedores de software e orientações de órgãos como a CISA. Manter-se informado, agir rapidamente diante de vulnerabilidades críticas e incorporar lições aprendidas aos processos internos é fundamental para reduzir a superfície de ataque e fortalecer a resiliência cibernética das organizações.