A agência de cibersegurança americana CISA incluiu uma vulnerabilidade no VMware Aria Operations —registrada como CVE-2026-22719 — no seu catálogo Known Exploited Vulnerabilities (KEV), o que indica que o problema já está se aproveitando em ataques reais. Essa decisão implica que as agências civis federais dos EUA têm a obrigação de atenuar a falha antes de 24 de março de 2026, um prazo que sublinha a gravidade do caso e a necessidade de agir rapidamente.
O VMware Aria Operations é uma plataforma de monitoramento pensada para ambientes empresariais: ajuda a controlar o desempenho e a saúde de servidores, redes e recursos na nuvem. A falha, que a VMware e a Broadcom publicaram e sistemaaram em 24 de fevereiro de 2026 dentro do aviso VMSA-2026-0001, foi catalogado como “Important” com uma pontuação CVSS aproximada de 8.1, o que já apontava para um risco elevado se não se corregia rapidamente.
Segundo o fabricante, trata-se de uma vulnerabilidade de injeção de comandos que permitiria a um atacante sem autenticar executar ordens arbitrárias em sistemas vulneráveis; no pior dos cenários, isso poderia resultar em execução remota de código enquanto está em andamento um processo de migração assistida por suporte. Por outras palavras, um vetor relacionado com os utilitários de migração torna uma funcionalidade legítima numa porta de entrada perigosa se as correcções não forem aplicadas.
Broadcom, responsável pelo suporte de Aria Operations, publicou adesivos no mesmo dia 24 de fevereiro e também facilitou uma solução temporária para aqueles que não podem colocar a atualização imediatamente. O adesivo oficial e o guia de mitigação estão disponíveis no aviso de segurança da Broadcom; a solução interina consiste em executar como root um programa chamado aria-ops-rce-workaround.sh, que desactiva componentes do processo de migração que poderiam ser explorados e elimina uma entrada em sudoers que permitia que um programa de workflow seja executado com privilégios elevados sem pedir senha. A Broadcom actualizou o seu aviso afirmando que eles receberam relatórios de exploração na natureza, mas que não conseguiram validar de forma independente esses relatórios: detalhes da Broadcom.
É importante destacar que, até agora, não foram publicados detalhes técnicos que expliquem exatamente como a vulnerabilidade está sendo explorada em ataques reais. Essa ausência de informação pública complica a detecção de compromissos, porque as equipas de resposta não dispõem de indicadores de compromisso amplos e contrastados. Por conseguinte, a recomendação geral dos fabricantes e da CISA é ter prioridade na aplicação do adesivo ou, se não for possível, colocar a mitigação temporária e endurecer os controlos em torno das instâncias afectadas.
Para os administradores e responsáveis pela segurança isso significa, além de sistemaar o mais rapidamente possível, evitar expor desnecessariamente os consoles de gestão e limitar o acesso aos nós de Aria Operations a partir de redes não confiáveis. Convém também rever os registos em busca de atividade incomum, verificar a integridade dos binários e scripts relacionados à migração, e rotar credenciais administrativas se houver a menor suspeita de compromisso. Broadcom publica a medida temporária e passos adicionais na sua base de conhecimento aqui.
A inclusão de CVE-2026-22719 no catálogo KEV de CISA é um chamado de atenção: quando a agência atua deste modo é geralmente porque há evidência, direta ou indireta, de uso ativo em campanhas maliciosas e porque o risco para infraestrutura crítica é considerado significativo. Não é o primeiro caso recente em que vulnerabilidades em produtos de virtualização e gestão se tornaram vetores atrativos para atacantes, pelo que as equipes de segurança deveriam tratar este aviso com a máxima prioridade operacional.
Se você administra Aria Operations, o essencial é verificar a versão que executa em frente à lista de correções da VMware, aplicar os adesivos fornecidos pelo fabricante e, entretanto, implementar qualquer workaround aprovado pela Broadcom. Manter-se atento a atualizações dos fabricantes e avisos de agências como a CISA ajudará a ajustar a resposta se surgirem novos detalhes técnicos sobre as técnicas de exploração.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...