CVE-2026-22719 : injection de commande non authentifiée dans VMware Aria Operations, ajoutée au catalogue KEV de la CISA. Correctif et script de mitigation disponibles.
En bref
- CVE-2026-22719 (CVSS 8.1) : injection de commande non authentifiée dans VMware Aria Operations, exploitation active confirmée
- Systèmes affectés : VMware Aria Operations (anciennement vRealize Operations) — toutes versions non corrigées
- Action urgente : appliquer le correctif Broadcom VMSA-2026-0001 ou exécuter le script de contournement aria-ops-rce-workaround.sh
Les faits
La vulnérabilité CVE-2026-22719 affecte VMware Aria Operations, la plateforme de gestion et d'optimisation des infrastructures virtualisées de Broadcom (anciennement VMware vRealize Operations). Il s'agit d'une faille d'injection de commande permettant à un attaquant non authentifié d'exécuter des commandes arbitraires sur le système cible, avec un score CVSS de 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).
Le 3 mars 2026, la CISA a ajouté CVE-2026-22719 à son catalogue KEV (Known Exploited Vulnerabilities), confirmant des preuves d'exploitation active dans la nature. Les agences fédérales américaines (FCEB) ont reçu l'obligation de remédier à cette vulnérabilité avant le 24 mars 2026. L'advisory de sécurité Broadcom VMSA-2026-0001 détaille les versions affectées et les correctifs disponibles.
Le vecteur d'exploitation est lié au workflow de migration produit. La faille se situe dans un composant accessible lors des opérations de migration assistée par le support, mais l'absence d'authentification signifie que tout attaquant ayant accès à l'interface de gestion peut tenter l'exploitation, indépendamment du contexte de migration. Aucun exploit public (proof-of-concept) n'a été référencé dans les sources principales à ce jour, ce qui suggère une exploitation ciblée par des acteurs sophistiqués.
Impact et exposition
VMware Aria Operations est déployé dans de nombreux datacenters d'entreprise pour la supervision et l'optimisation des environnements vSphere. Une compromission de cette plateforme offre à l'attaquant un accès privilégié à l'infrastructure de virtualisation complète, incluant potentiellement la capacité de pivoter vers les machines virtuelles hébergées et les réseaux de gestion associés.
La complexité d'exploitation élevée (AC:H dans le score CVSS) indique que l'attaque nécessite des conditions spécifiques, mais l'absence de prérequis d'authentification compense partiellement cette barrière. Les organisations exposant l'interface de gestion d'Aria Operations sur des réseaux accessibles depuis Internet ou des segments réseau peu segmentés sont les plus à risque. L'ajout au catalogue KEV par la CISA confirme que des attaquants ont réussi à exploiter cette vulnérabilité dans des conditions réelles.
Recommandations immédiates
- Appliquer le correctif Broadcom publié dans l'advisory VMSA-2026-0001 sur tous les nœuds VMware Aria Operations
- Si le correctif ne peut pas être appliqué immédiatement, télécharger et exécuter le script de contournement aria-ops-rce-workaround.sh en tant que root sur chaque nœud Virtual Appliance
- Vérifier que l'interface de gestion d'Aria Operations n'est pas exposée sur Internet ou des réseaux non approuvés
- Segmenter le réseau de gestion VMware pour limiter l'accès aux seuls administrateurs autorisés
- Auditer les logs d'accès à l'interface de gestion pour détecter des tentatives de connexion non autorisées ou des requêtes inhabituelles vers les endpoints de migration
⚠️ Urgence
CVE-2026-22719 est confirmée exploitée dans la nature par la CISA. L'injection de commande sans authentification sur une plateforme de gestion d'infrastructure virtualisée représente un risque majeur de compromission en profondeur. Priorisez le déploiement du correctif sur tous les nœuds Aria Operations exposés.
Comment savoir si je suis vulnérable ?
Connectez-vous à l'interface d'administration de VMware Aria Operations et vérifiez la version installée dans Administration → À propos. Consultez l'advisory Broadcom VMSA-2026-0001 pour la liste exacte des versions affectées. Si votre version y figure et que le correctif ou le script de contournement n'a pas été appliqué, vous êtes vulnérable. Vérifiez également si l'interface de gestion est accessible depuis des segments réseau non sécurisés.
Le script de contournement est-il suffisant ?
Le script aria-ops-rce-workaround.sh fourni par Broadcom désactive le composant vulnérable lié au workflow de migration. Il constitue une mesure temporaire efficace, mais le correctif complet reste recommandé dès que possible. Le script doit être exécuté en tant que root sur chaque nœud Virtual Appliance du cluster Aria Operations.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-3055 : Citrix NetScaler SAML fuite mémoire (9.3)
CVE-2026-3055 : faille critique CVSS 9.3 dans Citrix NetScaler ADC et Gateway. Fuite mémoire via SAML exploitée activement, ajoutée au catalogue KEV de la CISA.
CVE-2026-34621 : zero-day critique Adobe Acrobat Reader
CVE-2026-34621 : Adobe corrige un zero-day Prototype Pollution dans Acrobat Reader, exploité via des PDF malveillants depuis décembre 2025. Mise à jour critique requise.
CVE-2026-3502 : zero-day TrueConf exploité par la Chine (KEV)
CVE-2026-3502 : zero-day TrueConf exploité dans l'opération TrueChaos par un acteur chinois. Le mécanisme de mise à jour distribue du malware Havoc C2 aux clients connectés.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire