L'agence américaine de cybersécurité CISA a inclus une vulnérabilité dans VMware Aria Operations - enregistré comme CVE-2026-22719- dans son catalogue de Vulnérabilités exploitées connues (KEV), ce qui indique que le problème est déjà exploité dans des attaques réelles. Cette décision implique que les organismes civils fédéraux américains ont l'obligation d'atténuer l'échec d'ici le 24 mars 2026, un délai qui souligne la gravité de l'affaire et la nécessité d'agir rapidement.
VMware Aria Operations est une plateforme de surveillance conçue pour les environnements d'affaires : elle permet de contrôler les performances et la santé des serveurs, des réseaux et des ressources en nuage. La décision, que VMware et Broadcom ont publiée et garée le 24 février 2026 dans l'avis VMSA-2026-0001, a été listé comme "Important" avec un score de CVSS approximatif de 8.1, qui a déjà signalé un risque élevé si pas corrigé rapidement.
Selon le fabricant, il s'agit d'une vulnérabilité d'injection de commande qui permettrait à un attaquant non authentifié d'exécuter des ordres arbitraires dans des systèmes vulnérables; au pire, cela pourrait conduire à l'exécution de code à distance pendant qu'un processus de migration assisté par le support est en cours. En d'autres termes, un vecteur lié aux utilitaires de migration transforme une fonctionnalité légitime en une porte d'entrée dangereuse si les corrections ne sont pas appliquées.
Broadcom, responsable du soutien des opérations d'Aria, a publié des correctifs le même 24 février et a également fourni une solution temporaire à ceux qui ne peuvent pas déployer immédiatement la mise à jour. Le patch officiel et le guide d'atténuation sont disponibles dans l'avis de sécurité de Broadcom; la solution provisoire est d'exécuter comme racine un script appelé Aria-ops-rce-workaround.sh, qui désactive les composants du processus de migration qui pourraient être exploités et supprime une entrée dans les sudoers qui a permis à un script de workflow de fonctionner avec des privilèges élevés sans demander de mot de passe. Broadcom a mis à jour son avis, notant qu'ils ont reçu des rapports d'exploitation de nature, mais qu'ils n'ont pas été en mesure de valider ces rapports de manière indépendante: détail de Broadcom.
Il est important de noter que, jusqu'à présent, aucun détail technique n'a été publié qui explique exactement comment la vulnérabilité est exploitée dans des attaques réelles. Ce manque d'information du public complique la détection des engagements, car les équipes d'intervention ne disposent pas d'indicateurs d'engagement complets et contrastés. Par conséquent, la recommandation générale des fabricants et de la CISA est d'avoir la priorité dans l'application du patch ou, si cela n'est pas possible, de déployer des mesures temporaires d'atténuation et de renforcer les contrôles autour des instances concernées.
Pour les gestionnaires et les responsables de la sécurité, cela signifie, en plus de patcher le plus rapidement possible, éviter d'exposer inutilement les consoles de gestion et de limiter l'accès aux nœuds Aria Operations à partir de réseaux peu fiables. Il convient également d'examiner les dossiers pour les activités inhabituelles, de vérifier l'intégrité des binaires et des scripts liés à la migration, et de faire pivoter les titres de compétence administratifs s'il y a le moindre soupçon d'engagement. Broadcom publie la mesure temporaire et les étapes supplémentaires dans sa base de connaissances Voilà..
L'inclusion de la CVE-2026-22719 dans le catalogue KEV de la CISA est un appel à l'attention : lorsque l'organisme agit de cette façon, c'est généralement parce qu'il existe des preuves, directes ou indirectes, d'une utilisation active dans des campagnes malveillantes et parce que le risque pour les infrastructures essentielles est considéré comme important. Ce n'est pas le premier cas récent où les vulnérabilités des produits de virtualisation et de gestion sont devenues des vecteurs attrayants pour les attaquants, de sorte que les équipes de sécurité devraient traiter cet avertissement avec la plus haute priorité opérationnelle.
Si vous gérez Aria Operations, l'essentiel est de vérifier la version que vous exécutez devant la liste de correction VMware, d'appliquer les correctifs fournis par le fabricant et, dans l'intervalle, de mettre en œuvre toute solution approuvée par Broadcom. Le fait de suivre les mises à jour du fabricant et les avis d'agence comme la CISA aidera à ajuster la réponse si de nouveaux détails techniques sur les techniques d'exploitation apparaissent.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...