VMware Aria Operations dính lỗ hổng RCE: CISA đưa vào danh mục KEV

Ngày 04/03/2026, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung lỗ hổng bảo mật CVE-2026-22719 vào danh mục Các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities - KEV), do ghi nhận dấu hiệu đang bị khai thác tích cực trên thực tế.

Lỗ hổng này ảnh hưởng đến VMware Aria Operations của Broadcom và được đánh giá nghiêm trọng với điểm CVSS 8.1. Theo mô tả, đây là lỗi chèn lệnh (command injection) cho phép kẻ tấn công không cần xác thực có thể thực thi lệnh tùy ý.

Broadcom cho biết: kẻ tấn công có thể lợi dụng lỗ hổng để thực thi mã từ xa (RCE) trong VMware Aria Operations khi quá trình di chuyển sản phẩm có sự hỗ trợ của bộ phận kỹ thuật đang diễn ra.

Các phiên bản bị ảnh hưởng và biện pháp khắc phục

Lỗ hổng CVE-2026-22719 đã được vá cùng với hai lỗ hổng khác:

CVE-2026-22720 – lỗ hổng kịch bản chéo trang (Stored XSS)
CVE-2026-22721 – lỗ hổng leo thang đặc quyền có thể dẫn đến quyền quản trị

Các sản phẩm bị ảnh hưởng gồm:

VMware Cloud Foundation và VMware vSphere Foundation phiên bản 9.*** – đã được khắc phục trong phiên bản 9.0.2.0
VMware Aria Operations 8.x – đã được sửa trong phiên bản 8.18.6

Đối với khách hàng chưa thể cập nhật ngay, Broadcom cung cấp tập lệnh shell “aria-ops-rce-workaround.sh”. Quản trị viên có thể tải xuống và chạy tập lệnh này với quyền root trên từng nút của thiết bị ảo Aria Operations để giảm thiểu rủi ro tạm thời.

Hiện chưa có thông tin chi tiết về phương thức khai thác, tác nhân đứng sau hay quy mô các cuộc tấn công. Broadcom cho biết đã nhận được báo cáo về khả năng lỗ hổng bị khai thác ngoài thực tế nhưng chưa thể tự xác nhận hoàn toàn.

Trước mức độ rủi ro, CISA yêu cầu các cơ quan thuộc nhánh hành pháp dân sự liên bang Hoa Kỳ (FCEB) phải hoàn tất việc áp dụng bản vá trước ngày 24/03/2026.(thehackernews)

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview