CISA dodaje CVE-2026-22719 do KEV: zdalne wykonanie kodu (RCE) w VMware Aria Operations jest wykorzystywane w atakach

Wprowadzenie do problemu / definicja luki

CVE-2026-22719 to podatność typu command injection (CWE-77) w Broadcom VMware Aria Operations (dawniej vRealize Operations), która może prowadzić do zdalnego wykonania poleceń, a w konsekwencji RCE. najważniejsze jest to, iż atak może być przeprowadzony przez niezautoryzowanego (unauthenticated) napastnika — ale w specyficznym kontekście: gdy trwa „support-assisted product migration” (migracja produktu realizowana z udziałem wsparcia).

Dodatkowo CISA wpisała tę lukę do katalogu Known Exploited Vulnerabilities (KEV), co jest silnym sygnałem, iż ryzyko nie jest teoretyczne — podatność ma być wykorzystywana w realnych kampaniach.

W skrócie

• CVE: CVE-2026-22719
• Typ: command injection → możliwe RCE
• Uwierzytelnienie: nie wymagane (w określonych warunkach)
• Ocena: CVSS v3.1 8.1 (High)
• Status: CISA KEV = „exploited in the wild”, deadline dla agencji FCEB: 24 marca 2026
• Łatki: wydane 24 lutego 2026 w ramach VMSA-2026-0001 (advisory zaktualizowane 3 marca 2026)
• Workaround: dostępny skrypt, wymagane uruchomienie na wszystkich nodach Aria Ops VA

Kontekst / historia / powiązania

Incydent wpisuje się w stały trend: rozwiązania do monitoringu i zarządzania infrastrukturą (takie jak Aria Operations) są atrakcyjnym celem, bo mają szerokie uprawnienia i widoczność środowiska.

W tym przypadku Broadcom opublikował advisory VMSA-2026-0001, obejmujące trzy podatności: CVE-2026-22719, CVE-2026-22720 oraz CVE-2026-22721. Dla CVE-2026-22719 wskazano scenariusz ataku podczas „support-assisted product migration”.

Co ważne: Broadcom w aktualizacji advisory zaznaczył, iż „jest świadomy doniesień o potencjalnej eksploatacji w środowisku”, ale nie potwierdził ich niezależnie.

Analiza techniczna / szczegóły luki

1) Mechanizm: command injection (CWE-77)

CVE-2026-22719 to klasyczny przypadek, w którym aplikacja konstruuje polecenie systemowe z danych wejściowych i nie neutralizuje znaków/metaznaków pozwalających „wyrwać się” z oczekiwanego kontekstu, co prowadzi do wykonania arbitralnych komend.

2) Warunek: migracja „support-assisted”

Opis w NVD i advisory precyzuje, iż wektor dotyczy sytuacji, w której trwa support-assisted product migration. W praktyce to oznacza, iż ryzyko może być szczególnie wysokie w organizacjach będących w trakcie migracji/transformacji (np. zmiany wersji/rodziny produktu, przepięć w ramach platformy).

3) Brak publicznych detali eksploatacji

W momencie publikacji ostrzeżeń brakuje publicznych informacji o tym, jak dokładnie podatność jest wykorzystywana (brak opisu TTP, brak jawnego PoC w źródłach). To nie zmniejsza ryzyka — KEV zwykle oznacza co najmniej wiarygodne potwierdzenie eksploatacji przez CISA/partnerów.

Praktyczne konsekwencje / ryzyko

Jeżeli podatność zostanie skutecznie wykorzystana, konsekwencje są typowe dla RCE w narzędziu zarządzającym:

• Przejęcie serwera Aria Operations i wykonanie komend z kontekstu usługi/systemu.
• Potencjalny pivot do innych systemów (monitorowanych hostów, vCenter, segmentów zarządzania), w zależności od topologii i uprawnień.
• Ryzyko kradzieży poświadczeń, manipulacji danymi telemetrycznymi, wyłączenia monitoringu (utrata widoczności) i przygotowania gruntu pod ransomware.

Dodatkowo, ponieważ eksploatacja jest raportowana jako „in the wild”, luka ma priorytet „natychmiastowy” w backlogu podatności — zwłaszcza dla instancji internet-facing lub słabo odseparowanych sieciowo.

Rekomendacje operacyjne / co zrobić teraz

1) Zidentyfikuj ekspozycję i wersję

Broadcom wskazuje, iż podatność dotyczy m.in. Aria Operations 8.x do 8.18.5 oraz 9.x do 9.0.1, a naprawa jest w 8.18.6 i 9.0.2 (oraz odpowiednich wydaniach VCF).

2) Priorytet: patch > workaround

• Najlepiej: aktualizacja do wersji naprawionych zgodnie z macierzą odpowiedzi w advisory (VMSA-2026-0001).
• Jeśli nie możesz patchować od razu: Broadcom udostępnia tymczasowy workaround (skrypt aria-ops-rce-workaround.sh), który trzeba uruchomić jako root na wszystkich nodach appliance.
  • Uwaga: ten workaround nie adresuje CVE-2026-22720 i CVE-2026-22721 — do tego potrzebny jest upgrade.

3) Ogranicz powierzchnię ataku (hardening „na już”)

Nawet przed oknem serwisowym na patch:

• Odseparuj Aria Ops w sieci zarządzania i ogranicz dostęp (ACL/VPN/allowlist).
• Zablokuj bezpośrednią ekspozycję interfejsów zarządzania na Internet.
• Jeśli jesteś w trakcie „support-assisted migration”, potraktuj ten etap jako okno podwyższonego ryzyka (dodatkowe monitoring i ograniczenia dostępu).

4) Monitoring i IR (bez czekania na IoC)

Ponieważ brak publicznych szczegółów exploitacji:

• Wzmocnij alertowanie na nietypowe procesy/komendy na appliance, anomalie w ruchu wychodzącym, nowe konta/klucze, zmiany konfiguracji.
• Zweryfikuj integralność systemu oraz historię działań administracyjnych w okresie od 24 lutego 2026 (data publikacji poprawek) i wstecz, jeżeli migracje były prowadzone wcześniej.

5) Zwróć uwagę na KEV i terminy

NVD odnotowuje, iż CVE-2026-22719 jest w KEV i podaje Due Date: 24.03.2026 (dla wymagań CISA dot. agencji federalnych), co pośrednio wskazuje na pilność także w sektorze prywatnym.

Różnice / porównania z innymi przypadkami

W tym samym advisory (VMSA-2026-0001) Broadcom załatał również:

• CVE-2026-22720 (Stored XSS, CVSS do 8.0) — wymaga uprawnień do tworzenia niestandardowych benchmarków i może prowadzić do działań administracyjnych w kontekście aplikacji.
• CVE-2026-22721 (Privilege escalation, CVSS do 6.2) — scenariusz zakłada posiadanie uprawnień w vCenter do dostępu do Aria Ops i eskalację do admina Aria Ops.

Największa różnica: CVE-2026-22719 jest najbardziej niebezpieczna operacyjnie, bo łączy brak uwierzytelnienia z potencjalnym RCE (przy spełnieniu warunku migracji).

Podsumowanie / najważniejsze wnioski

CVE-2026-22719 to podatność, której nie warto „kolejkować”: CISA KEV + doniesienia o eksploatacji oznaczają realne ryzyko. Najrozsądniejsza ścieżka to szybki upgrade do wersji naprawionych, a jeżeli to niemożliwe — wdrożenie workaround jako rozwiązania przejściowego (z pełną świadomością, iż nie zamyka pozostałych CVE z advisory).

Źródła / bibliografia

• BleepingComputer – informacja o dodaniu do KEV i terminie 24.03.2026 (BleepingComputer)
• Broadcom (VMSA-2026-0001 / 36947) – opis CVE-2026-22719 oraz aktualizacja o doniesieniach eksploatacji (Support Portal)
• Broadcom KB 430349 – workaround i wersje naprawione (Support Portal)
• NVD (NIST) – szczegóły CVE, CVSS, informacja o KEV i due date (NVD)
• SecurityWeek – kontekst „exploited in the wild”, brak publicznych detali ataków (SecurityWeek)