L'agence américaine de cybersécurité CISA a inclus cette semaine dans son catalogue de Vulnérabilités connues Exploité (KEV) une grave défaillance affectant les produits Broadcom / VMware, en particulier VMware Aria Operations. C'est une vulnérabilité identifiée comme CVE-2026-22719 avec un score CVSS de 8.1, et selon CISA son inclusion dans le catalogue est due à des signes d'exploitation active dans des environnements réels ( Alerte de la CISA).
En termes simples, l'échec permet une injection de commande qui pourrait être utilisée par un attaquant sans avoir à authentifier pour exécuter des ordres arbitraires dans les opérations d'Aria, en particulier pendant les processus de migration assistés par le support. Une telle vulnérabilité ouvre la porte à l'exécution de code à distance, ce qui, dans les environnements de gestion et de surveillance, peut donner lieu à un contrôle administratif et à un accès aux données sensibles provenant d'une infrastructure virtualisée.
Broadcom a publié un avis technique reconnaissant l'existence du problème et décrivant les versions concernées ainsi que les corrections disponibles. Les produits mentionnés incluent des exemples de VMware Cloud Foundation et VMware vSphere Foundation 9.x, et VMware Aria Operations 8.x; les solutions sont déjà distribuées dans des patchs spécifiques - par exemple, les branches 9.x et 8.x reçoivent des mises à jour qui corrigent ces faiblesses. La version officielle de Broadcom est disponible avec les détails et les versions corrigées sur votre page de support ( Avis de Broadcom).
Avec CVE-2026-22719 Broadcom, il a résolu deux autres défaillances connexes : CVE-2026-22720, qui correspond à un XSS stocké, et CVE-2026-22721, qui permet l'escalade des privilèges et pourrait se retrouver dans l'accès administratif. La combinaison de l'injection de commandement, du XSS et de l'escalade des privilèges dans le même écosystème augmente considérablement le risque opérationnel, car un vecteur initial relativement simple peut être enchaîné pour compromettre complètement une plateforme.
Les entités qui ne peuvent pas appliquer immédiatement les correctifs ont une mesure temporaire proposée par le fournisseur: Broadcom a publié un script d'atténuation ("aria-ops-rce-workaround.sh") qui doit être téléchargé et exécuté comme racine dans chaque nœud de la machine virtuelle Aria Operations. Cette solution provisoire est conçue pour réduire la surface utilisable jusqu'à ce que la correction finale soit installée; le guide et le lien de téléchargement sont disponibles dans la base de connaissances du fabricant ( Article Broadcom).
Pour l'instant, il n'y a pas d'information publique détaillée sur les techniques spécifiques utilisées par les attaquants, ni sur l'ampleur ou l'origine des campagnes qui profiteraient de cette vulnérabilité. Broadcom a indiqué que, bien qu'ils aient reçu des rapports d'exploitation réelle, ils n'ont pas pu vérifier indépendamment la validité de tous ces avis. Néanmoins, le fait que la CISA ait ajouté l'entrée au catalogue KEV implique que les signes de risque ont été jugés suffisamment sérieux pour recommander des mesures urgentes de la part des gestionnaires et des agents de sécurité.
En ce qui concerne les obligations en matière de réglementation et de conformité, l'inclusion dans le catalogue de la CISA est limitée dans le temps : les organismes fédéraux civils américains. Les corrections doivent être appliquées avant le 24 mars 2026. Ces exigences anticipent souvent des recommandations pratiques à l'intention d'autres organisations : mettre à jour dès que possible, ou séparer et atténuer tout en correctif..
Si vous gérez des cas de VMware Aria Operations ou des plateformes connexes, les priorités sont claires. Tout d'abord, examiner les avis officiels du fournisseur et télécharger les versions qui corrigent les défaillances; ensuite, s'il n'est pas possible de se garer immédiatement, mettre en œuvre l'atténuation temporaire offerte par Broadcom en exécutant le script dans chaque noeud de l'application; et en parallèle, resserrer les contrôles réseau et la surveillance pour détecter une activité anormale. Il est également recommandé d'examiner et de filtrer l'accès administratif, d'analyser les registres des indicateurs d'engagement et, si des traces de fonctionnement sont détectées, d'activer les processus d'intervention en cas d'incident.
En plus de suivre les instructions du fournisseur, il est utile de surveiller de près les informations provenant de sources officielles sur l'évolution de l'affaire. L'entrée dans le catalogue de vulnérabilités connues de la CISA se trouve sur sa page KEV ( Catalogue CISA KEV) et l'identificateur d'échec offre un point de référence pour corréler rapports et signatures dans les outils de gestion de la vulnérabilité ( Enregistrement CVE). Il est également conseillé de visiter le web VMware sur Aria Operations pour comprendre le contexte fonctionnel de la plateforme et évaluer l'impact sur les flux opérationnels ( VMware Aria Exploitation page produit).
En bref, bien que certains détails techniques et l'ampleur exacte des attaques ne soient pas clairs, la recommandation est sans équivoque : ne pas retarder les mises à jour et appliquer des mesures d'atténuation temporaires si le patch ne peut pas être installé immédiatement. La combinaison de la vulnérabilité et d'une exploitation active éventuelle, de l'implication des composantes de gestion et de l'existence de vecteurs auxiliaires nécessite une intervention rapide et coordonnée de la part de l'informatique et du matériel de sécurité.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
Mini Shai-Hulud : l'attaque qui a transformé les dépendances en vecteurs d'intrusion de masse
Résumé de l'incident : GitHub enquête sur l'accès non autorisé aux dépôts internes après que l'acteur connu sous le nom de TeamPCP ait mis le code source présumé et les organisa...
Fox Temper expose la fragilité de la signature numérique dans le cloud
La divulgation par Microsoft du fonctionnement de "malware-signing-as-a-service" connu comme Fox Temper remplace au centre la vulnérabilité la plus critique de l'écosystème logi...
Trapdoor: l'opération anti-dumping qui a transformé les applications Android en une usine automatique de revenus illicites
Les chercheurs en cybersécurité ont découvert une opération de fraude au dumping et à la publicité mobile Piège, qui transforme les installations d'application Android légitimes...
De l'avertissement à l'orchestration et à l'action de l'AI pour accélérer la réponse aux incidents de réseau
Les équipes informatiques et de sécurité vivent une réalité bien connue : un flot constant d'alertes des plateformes de surveillance, des systèmes d'infrastructure, des services...