La agencia de ciberseguridad de EE.UU. confirmó que la vulnerabilidad de inyección de comandos, con CVSS 8.1, está siendo utilizada en ataques. La falla permite a un atacante sin autenticación ejecutar código de forma remota en la plataforma de monitoreo empresarial.
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) emitió una alerta urgente este martes tras añadir una vulnerabilidad de ejecución remota de código (RCE) en VMware Aria Operations a su catálogo de amenazas activas. La falla, identificada como CVE-2026-22719, está siendo explotada por actores maliciosos en ataques, lo que obliga a las agencias federales estadounidenses a aplicar los parches correspondientes antes del 24 de marzo de 2026.
La vulnerabilidad es una inyección de comandos con una puntuación de severidad de 8.1 sobre 10 en la escala CVSS. Permite que un atacante no autenticado ejecute comandos arbitrarios en el sistema afectado, lo que puede derivar en una toma de control total de la plataforma.
Según el aviso de Broadcom, la empresa matriz de VMware, el vector de ataque se produce específicamente mientras está en progreso una migración de producto asistida por soporte. VMware Aria Operations, anteriormente conocido como vRealize Operations, es una plataforma de gestión y monitoreo crucial para centros de datos y entornos de nube, lo que convierte esta falla en un objetivo de alto valor para los adversarios.
La inclusión en el Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA es la confirmación definitiva de que la amenaza ha pasado del plano teórico al práctico. Aunque Broadcom actualizó su aviso de seguridad indicando que está "al tanto de informes de posible explotación", la directiva de CISA establece un mandato claro basado en evidencia concreta de ataques en curso. Este tipo de vulnerabilidades en productos empresariales ubicuos son frecuentemente el primer paso de campañas de ransomware y espionaje corporativo.
Broadcom había publicado los parches para solucionar esta vulnerabilidad el pasado 24 de febrero, afectando a las versiones 8.x de VMware Aria Operations y a las versiones 9.x de VMware Cloud Foundation y VMware vSphere Foundation. Para las organizaciones que no pueden aplicar la actualización de inmediato, la compañía proporcionó un script de mitigación temporal llamado aria-ops-rce-workaround.sh. Este script debe ejecutarse como usuario root en cada nodo del appliance de Aria Operations y funciona deshabilitando componentes del proceso de migración que podrían ser abusados por los atacantes.
Para las empresas en América Latina, donde la infraestructura de VMware es fundamental para sectores como el financiero, telecomunicaciones y gobierno, esta alerta representa un riesgo inminente. Los actores de amenazas a menudo automatizan el escaneo de vulnerabilidades conocidas como CVE-2026-22719, buscando sistemas expuestos en la región que aún no han sido parcheados. La ventana de oportunidad para los defensores es extremadamente corta una vez que una vulnerabilidad entra en el catálogo KEV.
Desde la perspectiva del adversario, un RCE sin autenticación en una plataforma de monitoreo central es un punto de entrada ideal. Les permite obtener un punto de apoyo inicial en la red, moverse lateralmente hacia otros sistemas críticos y desplegar cargas útiles maliciosas con un alto grado de sigilo. Se insta a todos los administradores de sistemas a verificar sus implementaciones de VMware Aria Operations y aplicar las actualizaciones o mitigaciones de forma inmediata para neutralizar esta amenaza activa.
FUENTE ORIGINAL
CISA↗CURADO POR
Alejandro Vargas