في عالم تكنولوجيا المعلومات، تعد الثغرات الأمنية تهديدًا متزايدًا. مؤخرًا، تم استغلال ثغرة جديدة في VMware Aria Operations، مما يسلط الضوء على المخاطر المحتملة التي تواجهها المؤسسات.
تم استغلال ثغرة جديدة في VMware في البرية، وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية (CISA).
تعتبر CVE-2026-22719 ثغرة حقن أوامر عالية الخطورة (CVSS 8.1) موجودة في إصدارات VMware Aria Operations قبل 8.18.6. وفقًا لبرودكوم، مالك VMware، في إشعار له، “يمكن لمهاجم غير مصادق عليه استغلال هذه المشكلة لتنفيذ أوامر عشوائية مما قد يؤدي إلى تنفيذ كود عن بعد في VMware Aria Operations أثناء عملية ترحيل المنتج المدعومة من الدعم. “
تم الكشف عنها لأول مرة وتم تحديثها إلى 8.18.6 في 24 فبراير جنبًا إلى جنب مع ثغرتين أخريين، ثغرة حقن نصوص عبر المواقع في Aria Operations CVE-2026-22720 (CVSS 8.0) وثغرة تصعيد الامتياز CVE-2026-22721 (CVSS 6.2).
في 3 مارس، أضافت CISA CVE-2026-22719 إلى كتالوج الثغرات المعروفة المستغلة (KEV) جنبًا إلى جنب مع ثغرة حديثة في Qualcomm. في نفس اليوم، قامت برودكوم بتحديث إشعارها بجملة، “تحديث: برودكوم على علم بالتقارير حول الاستغلال المحتمل لـ CVE-2026-22719 في البرية، لكن لا يمكننا تأكيد صحتها بشكل مستقل. “
تواصلت Dark Reading مع برودكوم للحصول على تعليق إضافي؛ وأكدت الشركة ما سبق.
على الرغم من أن العملاء مدعوون لتطبيق التحديث، إلا أن هناك حلًا بديلًا يتمثل في نص يمكن للعملاء المتأثرين تشغيله في بيئاتهم. يشمل العملاء المتأثرين أولئك الذين يستخدمون Aria Operations الإصدار 8 حتى 8.18.5، بالإضافة إلى Aria Operations الإصدار 9 حتى 9.0.1.
المخاطر الفريدة المحيطة بمنصات إدارة السحابة
Aria Operations هي منصة موحدة لإدارة تكنولوجيا المعلومات تُستخدم لمراقبة وإدارة مجموعة واسعة من بيئات السحابة. على الرغم من أن هذه الأدوات مفيدة، إلا أنها تعمل أيضًا كنقطة مركزية يمكن للمهاجم الوصول إليها للسيطرة على مجموعة من البنية التحتية بسبب الوصول الذي تتطلبه هذه المنتجات الإدارية.
يقول كولين هوج-سبيرز، مدير حلول الإدارة في بلاك دك، لـ Dark Reading إن الاختراق ضد Aria Operations من خلال ثغرة مثل CVE-2026-22719، وهي ثغرة حقن أوامر أساسية يمكن أن تمنح الوصول الجذر غير المصدق إلى مثيل، يهدد أيضًا البنية التحتية الافتراضية بأكملها دفعة واحدة، بما في ذلك بيانات الاعتماد، وتخطيط الشبكة، والمراقبة، والمزيد.
“المهاجم الذي يسيطر على Aria لا يسرق خادمًا واحدًا،” يقول هوج-سبيرز. “إنهم يرثون بيانات الاعتماد وتخطيط الشبكة لكل نظام تديره Aria. يرون ما تراه SOC الخاصة بك. يتحكمون فيما تثق به SOC الخاصة بك. أول شيء يفعله المهاجم القادر بعد اختراق منصة المراقبة: يجعل تلك المنصة تبلغ عن عدم حدوث أي شيء. يشاهد فريقك لوحات معلومات نظيفة بينما يحصد المهاجم حسابات خدمة vCenter، ويرسم كل مضيف ESXi، ويخطط لنشر برامج الفدية عبر ممتلكاتك الافتراضية بالكامل. هذا ليس تخمينًا. لقد وثقت مجموعة Scattered Spider وQilin وLazarus Group جميعها حملات تستهدف بنية VMware التحتية بسبب هذا الوصول الكبير. “
هناك قلق آخر هو أنه على الرغم من أن الاستغلال لا يمكن أن يحدث إلا خلال نافذة الترحيل، إلا أن حقن الأوامر لا يتطلب أي مصادقة ويمنح الوصول الجذر. لهذا السبب، يوصي هوج-سبيرز بتحديث إلى إصدار ثابت (Aria Operations 8.18.6 أو VCF 9.0.2.0) اليوم، أو نشر الحل البديل على الفور إذا كان التحديث سيستغرق أكثر من 48 ساعة.
تعتبر CVE-2026-22719 أحدث ثغرة في VMware تتعرض للهجوم. في مارس الماضي، كشفت VMware عن ثلاث ثغرات يوم الصفر، بما في ذلك CVE-2025-22224، وهي ثغرة حرجة تؤثر على VMware ESXi وWorkstation. في سبتمبر، اكتشف الباحثون أدلة على أن ثغرة تصعيد الامتياز الحرجة التي تؤثر على Aria Operations وأدوات VMware، والتي تم تتبعها كـ CVE-2025-41244، قد تم استغلالها لمدة عام تقريبًا.
مع تزايد التهديدات السيبرانية، من الضروري أن تبقى المؤسسات على اطلاع دائم بأحدث الثغرات وتطبيق التحديثات اللازمة لحماية بنيتها التحتية.
