В конце февраля 2026 года компания Broadcom выпустила бюллетень безопасности VMSA-2026-0001, в котором раскрыты три новые уязвимости в платформе для мониторинга и управления инфраструктурой VMware Aria Operations. Эти недостатки безопасности, затрагивающие также продукты на её основе, позволяют злоумышленникам выполнять произвольные команды на удалённых системах, повышать привилегии и проводить атаки через интерфейс управления. Данное событие имеет высокую значимость для корпоративного сектора и операторов связи, поскольку затронутые решения широко используются для централизованного наблюдения за гибридными облачными средами, включая критически важные инфраструктуры.
Детали уязвимости
Согласно официальному сообщению, проблемы затрагивают не только VMware Aria Operations, но и платформы VMware Cloud Foundation, VMware Telco Cloud Platform, а также VMware Telco Cloud Infrastructure. Для всех уязвимых версий уже выпущены обновления безопасности. Наиболее критичной из обнаруженных проблем эксперты признали уязвимость, получившую идентификатор CVE-2026-22719. Она представляет собой инъекцию команд с базовым баллом оценки CVSSv3, равным 8.1. Её эксплуатация позволяет неавторизованному злоумышленнику выполнить произвольный код на целевой системе в процессе миграции продукта с поддержкой специалистов. Эта особенность делает угрозу особенно опасной, поскольку для запуска атаки не требуются учётные данные. Между тем, для ситуаций, когда немедленная установка заплаток невозможна, Broadcom опубликовал временное обходное решение в базе знаний под номером KB430349.
Второй серьёзной проблемой стала уязвимость типа stored cross-site scripting (XSS), которая сохраняется на сервере. Она зарегистрирована под номером CVE-2026-22720 и имеет оценку CVSSv3 8.0. Злоумышленник, обладающий привилегиями на создание пользовательских тестов производительности, может внедрить вредоносные сценарии в интерфейс Aria Operations. В результате, при просмотре этих данных администратором, скрипт выполнится в его сессии, что позволит атакующему проводить несанкционированные действия от имени администратора. Данную уязвимость обнаружил и сообщил вендору Тобиас Андерс из Deutsche Telekom Security GmbH.
Третья выявленная проблема, CVE-2026-22721, связана с эскалацией привилегий и оценена в 6.2 балла по шкале CVSSv3. Она может быть использована злоумышленником, уже имеющим определённые права в системе vCenter, для получения полного административного доступа в среде VMware Aria Operations. Авторами этого открытия стали Свен Нобис и Лорин Лехавани из немецкой компании ERNW Enno Rey Netzwerke GmbH. Важно отметить, что все три уязвимости были переданы исследователями в Broadcom по механизму ответственного раскрытия, что позволило вендору разработать и выпустить исправления до публикации деталей.
С точки зрения экспертизы, данный набор уязвимостей демонстрирует классические, но оттого не менее опасные векторы атаки на системы управления. Инъекция команд, как в случае CVE-2026-22719, часто возникает из-за недостаточной санитизации пользовательского ввода, который затем передаётся в командную оболочку операционной системы. Уязвимости типа XSS, хотя и считаются менее критичными, чем прямое выполнение кода, остаются мощным инструментом в арсенале злоумышленников для компрометации сессий администраторов и последующего закрепления в системе. Комбинация этих проблем в одном продукте создаёт благоприятные условия для многоэтапных атак, когда первоначальный доступ, полученный через одну уязвимость, используется для расширения влияния с помощью других.
Последствия успешной эксплуатации этих недостатков безопасности могут быть крайне серьёзными для организаций. Удалённое выполнение кода позволяет злоумышленникам, в частности, группам, продвигающим программы-вымогатели, получить полный контроль над системой мониторинга. Это открывает путь к сбору конфиденциальных данных о всей ИТ-инфраструктуре, манипуляции настройками и, как возможное развитие атаки, к нарушению работы критических бизнес-сервисов. Для телеком-операторов, использующих затронутые продукты в своих облачных платформах, риски также включают возможность нарушения предоставления услуг.
В качестве практических рекомендаций специалистам по информационной безопасности необходимо немедленно провести инвентаризацию своих сред на предмет использования уязвимых версий перечисленных продуктов. Приоритетным действием является установка официальных обновлений, выпущенных Broadcom. Для VMware Aria Operations 8.x это версия 8.18.6, для VMware Cloud Foundation (VCF Operations) 9.x - версия 9.0.2.0. Для других затронутых платформ, таких как VMware Telco Cloud Platform, следует обратиться к инструкциям в указанных в бюллетене статьях базы знаний. В ситуациях, где срочное обновление невозможно, особенно для критической уязвимости CVE-2026-22719, настоятельно рекомендуется применение временного обходного решения из KB430349. Кроме того, в рамках общей стратегии защиты, следует придерживаться принципа минимальных привилегий, тщательно контролируя права доступа к функциям создания пользовательских тестов в Aria Operations, что может помочь снизить риск эксплуатации XSS-уязвимости. Регулярный аудит логов и событий в системах класса SIEM также позволит своевременно выявить подозрительную активность, связанную с попытками инъекций или несанкционированным доступом. Таким образом, оперативное реагирование на данное предупреждение и комплексный подход к защите систем управления инфраструктурой являются ключевыми мерами для минимизации потенциального ущерба.
