La agencia de ciberseguridad estadounidense CISA ha incluido una vulnerabilidad en VMware Aria Operations —registrada como CVE-2026-22719— en su catálogo de Known Exploited Vulnerabilities (KEV), lo que indica que el problema ya se está aprovechando en ataques reales. Esa decisión implica que las agencias civiles federales de Estados Unidos tienen la obligación de mitigar la falla antes del 24 de marzo de 2026, un plazo que subraya la gravedad del caso y la necesidad de actuar con rapidez.
VMware Aria Operations es una plataforma de supervisión pensada para entornos empresariales: ayuda a controlar el rendimiento y la salud de servidores, redes y recursos en la nube. El fallo, que VMware y Broadcom publicaron y parchearon el 24 de febrero de 2026 dentro del aviso VMSA-2026-0001, fue catalogado como “Important” con una puntuación CVSS aproximada de 8.1, lo que ya apuntaba a un riesgo elevado si no se corregía rápidamente.
Según el fabricante, se trata de una vulnerabilidad de inyección de comandos que permitiría a un atacante sin autenticar ejecutar órdenes arbitrarias en sistemas vulnerables; en el peor de los escenarios, esto podría desembocar en ejecución remota de código mientras está en marcha un proceso de migración asistida por soporte. En otras palabras, un vector relacionado con las utilidades de migración convierte una funcionalidad legítima en una puerta de entrada peligrosa si no se aplican las correcciones.
Broadcom, responsable del soporte de Aria Operations, publicó parches el mismo 24 de febrero y también facilitó una solución temporal para quienes no pueden desplegar la actualización de inmediato. El parche oficial y la guía de mitigación están disponibles en el aviso de seguridad de Broadcom; la solución interina consiste en ejecutar como root un script llamado aria-ops-rce-workaround.sh, que desactiva componentes del proceso de migración que podrían ser explotados y elimina una entrada en sudoers que permitía que un script de workflow se ejecutara con privilegios elevados sin pedir contraseña. Broadcom actualizó su aviso señalando que han recibido reportes de explotación en la naturaleza, pero que no han podido validar de forma independiente esos informes: detalle de Broadcom.
Es importante destacar que, hasta ahora, no se han publicado detalles técnicos que expliquen exactamente cómo se está explotando la vulnerabilidad en ataques reales. Esa ausencia de información pública complica la detección de compromisos, porque los equipos de respuesta no disponen de indicadores de compromiso amplios y contrastados. Por ello, la recomendación general de los fabricantes y de CISA es tener prioridad en la aplicación del parche o, si no es posible, desplegar la mitigación temporal y endurecer los controles alrededor de las instancias afectadas.
Para los administradores y responsables de seguridad esto significa, además de parchear lo antes posible, evitar exponer innecesariamente las consolas de gestión y limitar el acceso a los nodos de Aria Operations desde redes no confiables. También conviene revisar los registros en busca de actividad inusual, comprobar la integridad de los binarios y scripts relacionados con la migración, y rotar credenciales administrativas si existe la menor sospecha de compromiso. Broadcom publica la medida temporal y pasos adicionales en su base de conocimiento aquí.
La inclusión de CVE-2026-22719 en el catálogo KEV de CISA es un llamado de atención: cuando la agencia actúa de este modo suele ser porque hay evidencia, directa o indirecta, de uso activo en campañas maliciosas y porque el riesgo para infraestructura crítica se considera significativo. No es el primer caso reciente en que vulnerabilidades en productos de virtualización y gestión se han convertido en vectores atractivos para atacantes, por lo que los equipos de seguridad deberían tratar este aviso con la máxima prioridad operativa.
Si administras Aria Operations, lo esencial es verificar la versión que ejecutas frente a la lista de correcciones de VMware, aplicar los parches provistos por el fabricante y, mientras tanto, implementar cualquier workaround aprobado por Broadcom. Mantenerse atento a actualizaciones de los fabricantes y a avisos de agencias como CISA ayudará a ajustar la respuesta si aparecen nuevos detalles técnicos sobre las técnicas de explotación.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...