Vulnerabilidad bajo explotación en VMware Aria Operations

Publicado hace 3 meses 06-03-2026

El 3 de marzo del presente año, la Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos de America (CISA) integró a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) una vulnerabilidad de alta severidad presente en VMware Aria Operations.

VMware Aria Operations es una herramienta de gestión de operaciones en la nube que permite monitorear, analizar y optimizar la infraestructura, desde recursos físicos y virtuales hasta sus aplicaciones, en múltiples entornos en la nube.

Con una puntuación CVSS de 8.1, la vulnerabilidad registrada como CVE-2026-22719 podría permitir que un actor malicioso no autenticado ejecute comandos arbitrarios que facilitan la ejecución de código remoto mientras está en progreso una migración del producto.

Las actualizaciones para remediar esta vulnerabilidad están disponibles desde el 24 de febrero del 2026, sin embargo, Broadcom también liberó un script como mitigación temporal para aquellos usuarios que no puedan actualizar inmediatamente.

El script llamado “aria-ops-rce-workaround.sh” es capaz de deshabilitar componentes vulnerables asociados al proceso de migración, como el archivo /usr/lib/vmware-casa/migration/vmware-casa-migration-service.sh. Además, modifica la configuración de privilegios en el archivo sudoers eliminando una línea que permite ejecutar el script vmware-casa-workflow.sh con permisos root sin requerir autenticación (NOPASSWD: /usr/lib/vmware-casa/bin/vmware-casa-workflow.sh).

Las actualizaciones también corrigen otras dos vulnerabilidades en VMware Aria Operations: CVE-2026-22720, una vulnerabilidad clasificada con alta importancia que podría permitir que un atacante con permisos para crear benchmarks inyecte scripts maliciosos con el fin de ser capaz de realizar acciones administrativas, y CVE-2026-22721, una vulnerabilidad de severidad media que podría ser aprovechada por un usuario autenticado para elevar sus privilegios y obtener permisos de administrador.
 

Versiones Afectadas

Productos Versiones afectadas Versiones corregidas
VMware Aria Operations Versiones 9.x.x.x Versión 9.0.2.0
Versiones 8.x Versión 8.18.6

Recomendaciones

  • Actualizar las versiones afectadas a las versiones corregidas.
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactorial.

Referencias

  1. Broadcom. (2026, febrero 24). VMSA-2026-0001: VMware Aria Operations updates address multiple vulnerabilities (CVE-2026-22719, CVE-2026-22720 and CVE-2026-22721). Recuperado el 6 de marzo del 2026, en: https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947
  2. Kovacs, E. (2026, marzo 4). VMware Aria Operations Vulnerability Exploited in the Wild. SecurityWeek. Recuperado el 6 de marzo del 2026, en: https://www.securityweek.com/vmware-aria-operations-vulnerability-exploited-in-the-wild/
  3. Abrams, L. (2026, marzo 3). CISA flags VMware Aria Operations RCE flaw as exploited in attacks. Bleeping Computer. Recuperado el 6 de marzo del 2026, en: https://www.bleepingcomputer.com/news/security/cisa-flags-vmware-aria-operations-rce-flaw-as-exploited-in-attacks/
  4. Lakshmanan, R. (2026, marzo 4). CISA Adds Actively Exploited VMware Aria Operations Flaw CVE-2026-22719 to KEV Catalog. The Hacker News. Recuperado el 6 de marzo del 2026, en: https://thehackernews.com/2026/03/cisa-adds-actively-exploited-vmware.html

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más