A agência norte-americana de segurança cibernética CISA incluiu esta semana no seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) uma falha grave que afeta produtos da Broadcom/VMware, em particular a VMware Aria Operations. Trata-se de vulnerabilidade identificada como CVE-2026-22719 com uma pontuação CVSS de 8.1, e segundo a CISA sua inclusão no catálogo obedece a indícios de exploração ativa em ambientes reais ( alerta de CISA).
Em termos simples, a falha permite uma injeção de comandos que pode ser aproveitada por um atacante sem necessidade de autenticar-se para executar ordens arbitrárias em Aria Operations, particularmente durante processos de migração assistida por suporte. Uma vulnerabilidade deste tipo abre a porta para execução remota de código, algo que em ambientes de gestão e monitoramento pode resultar em controle administrativo e acesso a dados sensíveis da infraestrutura virtualizada.
Broadcom publicou um aviso técnico que reconhece a existência do problema e descreve as versões afectadas, bem como as correções disponíveis. Os produtos assinalados incluem instâncias da VMware Cloud Foundation e VMware vSphere Foundation 9.x, e VMware Aria Operations 8.x; as soluções estão já distribuídas em adesivos concretos - por exemplo, os ramos 9.x e 8.x recebem atualizações que corrigem essas fraquezas. O comunicado oficial da Broadcom pode ser consultado com os detalhes e versões corrigidas na sua página de suporte ( aviso de Broadcom).
Junto com CVE-2026-22719 Broadcom resolveu outras duas falhas relacionadas: CVE-2026-22720, que corresponde a um XSS armazenado, e CVE-2026-22721, que permite escalada de privilégios e pode terminar em acesso administrativo. A combinação de injeção de comandos, XSS e escalada de privilégios num mesmo ecossistema aumenta significativamente o risco operacional, porque um vetor inicial relativamente simples pode ser encadeado para comprometer completamente uma plataforma.
Entidades que não possam aplicar os adesivos imediatamente têm uma medida temporária proposta pelo fornecedor: Broadcom publicou um programa de mitigação ("aria-ops-rce-workaround.sh") que deve ser baixado e executado como root em cada nó da máquina virtual de Aria Operations. Essa solução interina destina-se a reduzir a superfície explorável até a instalação da correcção definitiva; o guia e o link de descarga estão disponíveis na base de conhecimento do fabricante ( Artigo da Broadcom).
Por agora, não há informação pública detalhada sobre as técnicas concretas que usam os atacantes, nem sobre a magnitude ou a origem das campanhas que estariam aproveitando esta vulnerabilidade. Broadcom indicou que, embora tenham recebido relatos que apontam para exploração real, não puderam verificar de forma independente a validade de todos esses avisos. Ainda assim, o facto de a CISA ter adicionado a entrada ao catálogo KEV implica que os indícios de risco foram considerados suficientemente sérios para recomendar uma acção urgente por parte de administradores e responsáveis pela segurança.
No que respeita às obrigações regulamentares e de cumprimento, a inclusão no catálogo da CISA implica prazos: as agências federais civis dos EUA. Os EUA (FCEB) devem aplicar as correcções antes de 24 de Março de 2026. Esse tipo de exigências geralmente antecipa recomendações práticas para o resto de organizações: atualizar quanto antes, ou segregar e mitigar enquanto se adesivo.
Se você gerencia instâncias do VMware Aria Operations ou plataformas relacionadas, as prioridades são claras. Em primeiro lugar, rever os avisos oficiais do fornecedor e baixar as versões que corrigem as falhas; em segundo lugar, se não for possível corrigir imediatamente, implementar a mitigação temporária que oferece Broadcom executando o programa em cada nó da appliance; e em paralelo, endurecer controles de rede e monitoramento para detectar atividade anómala. Também é recomendável rever e filtrar os acessos administrativos, analisar logs em busca de indicadores de compromisso e, se detectarem traços de exploração, ativar os processos de resposta a incidentes.
Além de seguir as instruções do fornecedor, é útil manter uma vigilância estreita sobre informações de fontes oficiais sobre a evolução do caso. A entrada no catálogo de vulnerabilidades conhecidas de CISA pode ser consultada na sua página de KEV ( catálogo KEV de CISA), e o identificador da falha oferece um ponto de referência para correlacionar relatórios e assinaturas em ferramentas de gestão de vulnerabilidades ( CVE). Também é aconselhável visitar a web VMware sobre Aria Operations para compreender o contexto funcional da plataforma e avaliar o impacto nos fluxos operacionais ( página do produto VMware Aria Operations).
Em suma, embora alguns detalhes técnicos e a escala exata dos ataques ainda não sejam completamente claros, a recomendação é inequívoca: não atrasar as actualizações e aplicar as medidas temporárias de mitigação se o adesivo não puder ser instalado imediatamente. A combinação de uma vulnerabilidade com possível exploração ativa, afectação a componentes de gestão e a existência de vetores auxiliares exige uma resposta rápida e coordenada por equipas de TI e segurança.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Mini Shai-Hulud: o ataque que transformou as dependências em vetores de intrusão maciça
Resumo do incidente: O GitHub investiga acesso não autorizado a repositórios internos depois de o ator conhecido como TeamPCP ter colocado a venda em um fórum criminoso o supost...
Fox Tempest expõe a fragilidade da assinatura digital na nuvem
A revelação da Microsoft sobre a operação de "malware-signing-as-a-service" conhecida como Fox Tempest volta a colocar no centro a vulnerabilidade mais crítica do ecossistema de...
Trapdoor: a operação de malvertising que transformou apps Android em uma fábrica automática de receitas ilegais
Pesquisadores de cibersegurança descobriram uma operação de malvertising e fraude publicitária móvel batizada como Trapdoor, que converte instalações legítimas de aplicações And...
Do aviso à ação orquestração e IA para acelerar a resposta a incidentes de rede
As equipes de TI e de segurança vivem uma realidade conhecida: um aluvião constante de alertas que chega desde plataformas de monitoramento, sistemas de infraestrutura, serviços...
Nx Console em jaque: como uma extensão de produtividade se tornou um roubo de credenciais e uma ameaça para a cadeia de abastecimento
Um ataque dirigido a desenvolvedores voltou a evidenciar a fragilidade da cadeia de fornecimento do software: a extensão Nx Console para editores como Visual Studio Code, com ma...