Управление кибербезопасности и безопасности инфраструктуры США (CISA) внесло критическую уязвимость в платформе VMware Aria Operations в свой каталог активно эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Это означает, что злоумышленники уже используют данную брешь в реальных атаках, что создаёт непосредственную угрозу для корпоративных сетей по всему миру. Инцидент вновь обнажает риски, связанные с программным обеспечением для управления инфраструктурой, которое зачастую обладает обширными привилегиями и доступом к ключевым системам организации.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2026-22719, была обнаружена в продукте VMware Aria Operations, ранее известном как vRealize Operations (vROps). Эта платформа является популярным решением для мониторинга, анализа и оптимизации виртуализированных сред в крупных компаниях и государственных учреждениях. По своей природе она имеет глубокую интеграцию с гипервизорами и сетевыми компонентами, что делает её привлекательной мишенью для злоумышленников, стремящихся к максимальному воздействию.
Технически проблема классифицируется как внедрение команд (CWE-77) и позволяет неаутентифицированному удалённому злоумышленнику выполнять произвольные команды на уровне операционной системы атакуемого сервера. Уязвимость проявляется в процессе поддержки миграции продукта, что указывает на использование определённой служебной функции. Успешная эксплуатация приводит к удалённому выполнению кода (Remote Code Execution, RCE), предоставляя атакующему полный контроль над устройством VMware Aria Operations.
Обладая таким уровнем доступа, киберпреступники могут не только похищать конфиденциальные данные, хранящиеся или обрабатываемые платформой, но и использовать скомпрометированный узел в качестве плацдарма для дальнейшего продвижения по корпоративной сети. Это создаёт риск заражения других критически важных систем, развёртывания программ-вымогателей или скрытого шпионажа. Хотя на текущий момент не зафиксировано случаев использования данной уязвимости в кампаниях с программами-вымогателями, её критичность и доступность для эксплуатации делают подобный сценарий весьма вероятным, особенно для высокоорганизованных угроз, таких как APT-группы.
В качестве первоочередных действий специалистам по информационной безопасности необходимо срочно установить все доступные обновления для VMware Aria Operations. Если немедленное применение заплаток невозможно, следует рассмотреть возможность временного отключения уязвимых функций или всего продукта до устранения проблемы. Кроме того, критически важно усилить мониторинг сетевой активности, уделяя особое внимание любым подозрительным действиям, связанным с процессами миграции или нестандартными исходящими соединениями с узлов, где развёрнута платформа. Анализ логов и событий в системах класса SIEM (Security Information and Event Management, управление событиями и информацией безопасности) может помочь в раннем обнаружении признаков компрометации.
Данный инцидент служит очередным напоминанием о том, что системы управления, обеспечивающие видимость и контроль над ИТ-инфраструктурой, сами становятся объектом пристального внимания злоумышленников. Их компрометация сводит на нет многие защитные механизмы и открывает широкие возможности для атак. Своевременное обновление, принцип минимальных привилегий и сегментация сетей, ограничивающая перемещение от таких систем, остаются ключевыми элементами защиты от подобных угроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-22719
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947
- https://knowledge.broadcom.com/external/article/430349
- https://techdocs.broadcom.com/us/en/vmware-cis/aria/aria-operations/8-18/vmware-aria-operations-8186-release-notes.html
