CVE-2026-22719 : injection de commande VMware Aria (KEV)

Les faits

La vulnérabilité CVE-2026-22719 affecte VMware Aria Operations, la plateforme de gestion et d'optimisation des infrastructures virtualisées de Broadcom (anciennement VMware vRealize Operations). Il s'agit d'une faille d'injection de commande permettant à un attaquant non authentifié d'exécuter des commandes arbitraires sur le système cible, avec un score CVSS de 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).

Le 3 mars 2026, la CISA a ajouté CVE-2026-22719 à son catalogue KEV (Known Exploited Vulnerabilities), confirmant des preuves d'exploitation active dans la nature. Les agences fédérales américaines (FCEB) ont reçu l'obligation de remédier à cette vulnérabilité avant le 24 mars 2026. L'advisory de sécurité Broadcom VMSA-2026-0001 détaille les versions affectées et les correctifs disponibles.

Le vecteur d'exploitation est lié au workflow de migration produit. La faille se situe dans un composant accessible lors des opérations de migration assistée par le support, mais l'absence d'authentification signifie que tout attaquant ayant accès à l'interface de gestion peut tenter l'exploitation, indépendamment du contexte de migration. Aucun exploit public (proof-of-concept) n'a été référencé dans les sources principales à ce jour, ce qui suggère une exploitation ciblée par des acteurs sophistiqués.

Impact et exposition

VMware Aria Operations est déployé dans de nombreux datacenters d'entreprise pour la supervision et l'optimisation des environnements vSphere. Une compromission de cette plateforme offre à l'attaquant un accès privilégié à l'infrastructure de virtualisation complète, incluant potentiellement la capacité de pivoter vers les machines virtuelles hébergées et les réseaux de gestion associés.

La complexité d'exploitation élevée (AC:H dans le score CVSS) indique que l'attaque nécessite des conditions spécifiques, mais l'absence de prérequis d'authentification compense partiellement cette barrière. Les organisations exposant l'interface de gestion d'Aria Operations sur des réseaux accessibles depuis Internet ou des segments réseau peu segmentés sont les plus à risque. L'ajout au catalogue KEV par la CISA confirme que des attaquants ont réussi à exploiter cette vulnérabilité dans des conditions réelles.

Recommandations immédiates

• Appliquer le correctif Broadcom publié dans l'advisory VMSA-2026-0001 sur tous les nœuds VMware Aria Operations
• Si le correctif ne peut pas être appliqué immédiatement, télécharger et exécuter le script de contournement aria-ops-rce-workaround.sh en tant que root sur chaque nœud Virtual Appliance
• Vérifier que l'interface de gestion d'Aria Operations n'est pas exposée sur Internet ou des réseaux non approuvés
• Segmenter le réseau de gestion VMware pour limiter l'accès aux seuls administrateurs autorisés
• Auditer les logs d'accès à l'interface de gestion pour détecter des tentatives de connexion non autorisées ou des requêtes inhabituelles vers les endpoints de migration