CSIRT-CAN – Centro de Respuesta a Incidentes de Seguridad de Canarias

Alerta

La agencia de ciberseguridad de EE. UU. Cybersecurity and Infrastructure Security Agency (CISA) lanzó una alerta

La agencia de ciberseguridad de EE. UU. Cybersecurity and Infrastructure Security Agency (CISA) lanzó una alerta sobre una vulnerabilidad crítica en VMware Aria Operations que ya está siendo explotada por atacantes. 

Esa vulnerabilidad está identificada como CVE-2026-22719 y tiene una gravedad 8.1/10 (alta). 

🧠 Primero: qué es VMware Aria Operations

Es una plataforma empresarial usada para:

•    Monitorizar servidores y máquinas virtuales
•    Analizar rendimiento del cloud
•    Gestionar infraestructuras VMware (vSphere, Cloud Foundation, etc.)

Muchas empresas grandes la usan para controlar toda su infraestructura IT. 

👉 Por eso, si alguien la compromete, puede tener acceso a todo el entorno virtual o cloud de la empresa.
⚠️ Qué vulnerabilidad encontraron

La vulnerabilidad es de tipo command injection.

En palabras simples:
Un atacante puede enviar comandos al sistema y hacer que el servidor los ejecute. Además, tiene dos factores peligrosos:

•    No requiere autenticación (el atacante ni siquiera necesita login)
•    Puede acabar en Remote Code Execution (RCE). 

Esto significa que un atacante podría:

•    Ejecutar comandos en el servidor.
•    Instalar malware.
•    Robar datos.
•    Tomar control de la infraestructura.  

🚨 Por qué CISA emitió la alerta

CISA añadió esta vulnerabilidad al KEV catalog (Known Exploited Vulnerabilities). 

Eso significa algo muy importante:

👉 Ya se está explotando en ataques reales.

Cuando CISA añade algo a ese catálogo:
•    Las agencias del gobierno de EE. UU. están obligadas a parchearlo.
•    Normalmente indica alto riesgo para empresas .
En este caso, el plazo para parchear era 24 de marzo de 2026. 

🛠️ Cómo se soluciona
Broadcom (dueño de VMware) publicó parches.
Versiones corregidas:
•    Aria Operations 8.18.6
•    VMware Cloud Foundation 9.0.2.0 

Si no se puede parchear inmediatamente:
•    Restringir acceso de red.
•    No exponer el servicio a Internet.
•    Segmentar la red.
•    Aplicar controles de acceso fuertes.  

🔎 Por qué preocupa a los expertos

•    En la capa de gestión de toda la infraestructura.
•    Con privilegios muy altos .
Si se compromete, un atacante puede controlar:
•    Máquinas virtuales.
•    Cloud privado.
•    Infraestructura completa.

  ✅ Resumen en una frase:
Se descubrió una vulnerabilidad crítica en VMware Aria Operations que permite ejecutar comandos remotamente sin autenticación, y CISA alerta porque ya hay ataques activos explotándola.