ثغرة VMware Aria Operations تستنفر CISA

ثغرة VMware Aria Operations الخطيرة أُضيفت إلى قائمة KEV من CISA بسبب استغلال نشط، ما يدفع المؤسسات لتحديث فوري قبل 24 مارس 2026.

لماذا أدرجت CISA ثغرة VMware Aria Operations؟

أعلنت وكالة الأمن السيبراني والبنية التحتية الأميركية أن الثغرة تُستغل فعلياً، وهو ما يرفع أولوية الإصلاح لدى الجهات الحكومية والشركات الحساسة. ووفقاً لتيكبامين، فإن الإدراج في KEV يعني أن الخطر ليس نظرياً.

الثغرة المصنفة CVE-2026-22719 تحمل درجة خطورة 8.1، وتسمح بحقن أوامر يمكن أن يقود إلى تنفيذ أوامر عن بعد دون مصادقة. ويظهر الخطر خصوصاً أثناء عمليات الترحيل المدعومة من فريق الدعم.

ما التفاصيل التقنية الأساسية؟

توضح النشرة الأمنية أن الاستغلال قد يمنح المهاجم تحكماً كاملاً في عقد Aria Operations الافتراضية، ما يفتح الباب أمام العبث بالبيانات ومراقبة الأداء. لذلك تُعد الثغرة ضمن قائمة KEV ذات الأولوية القصوى.

• المعرف: CVE-2026-22719 مع تقييم CVSS 8.1.
• النوع: حقن أوامر يؤدي لتنفيذ كود.
• المهاجم: غير مصادق ويمكنه الوصول عن بُعد.
• التأثير: سيطرة على النظام أثناء الترحيل.

هل توجد ثغرات أخرى مرتبطة؟

التحديث الأخير شمل مشكلتين إضافيتين تؤثران على الأمان العام للمنصة. ورغم أنها لا تحمل نفس شدة الثغرة الرئيسية، فإن تجاهلها قد يعزز فرص الاختراق.

• CVE-2026-22720: ثغرة XSS مخزنة قد تسمح بسرقة جلسات.
• CVE-2026-22721: تصعيد صلاحيات قد يؤدي لوصول إداري.
• التوصية: تثبيت التصحيحات معاً لتقليل المخاطر.

من يتأثر بمنصة Aria Operations؟

التأثير يطال بيئات برودكوم VMware Aria Operations، خصوصاً النسخ التي تمر بمرحلة ترحيل المنتج بمساعدة الدعم الفني. هذه المرحلة تُعد حساسة لأنها تتضمن تغييرات على البنية الداخلية للمنصة.

حتى الآن لا توجد تفاصيل عامة عن آلية الاستغلال أو الجهات التي تقف خلفه، كما لم تُعلن مؤشرات هجوم محددة. وأقرت برودكوم بتلقي تقارير حول استغلال محتمل لكنها لم تؤكد صحتها بشكل مستقل.

• بيئات الرصد التي تشغل عقداً افتراضية متعددة.
• مراكز البيانات التي تعتمد على مراقبة الأداء لحظياً.
• الجهات التي تؤجل التحديثات الأمنية الدورية.

ما المطلوب من الجهات الحكومية والمؤسسات؟

الوكالات الفدرالية المدنية مطالبة بتطبيق الإصلاحات قبل 24 مارس 2026، وهو تاريخ مُلزم لجهات FCEB. وينطبق الأمر أيضاً على المؤسسات الخاصة التي تدير بنى تحتية حرجة أو خدمات سحابية حساسة.

تؤكد الإرشادات أن التأخير يزيد احتمالات الاستغلال، خصوصاً مع وجود استهداف نشط. لذا يجب دمج التصحيح ضمن جدول التحديثات العاجلة.

• تثبيت التصحيحات الرسمية فور توفر نافذة صيانة مناسبة.
• تشغيل سكربت aria-ops-rce-workaround.sh كصلاحية root عند تعذر التحديث.
• تطبيق السكربت على كل عقدة من Aria Operations Virtual Appliance.
• مراجعة سجلات الأوامر غير المعتادة بعد التنفيذ.

كيف تحمي المؤسسات بيئتها الآن؟

إلى جانب التحديث، يُنصح بتقييد الوصول الشبكي إلى واجهات الإدارة وتقوية المصادقة متعددة العوامل. كما يساعد تقسيم الشبكة على تقليل الأثر في حال وقوع استغلال.

مؤشرات يجب مراقبتها

ابحث عن إنشاء عمليات غير مألوفة أو اتصالات خارجية غير مصرح بها، خاصة خلال فترات الترحيل. توصي تيكبامين بمراقبة سلوك الخدمات ومراجعة الامتيازات بشكل متكرر.

في النهاية، التعامل السريع مع ثغرة VMware Aria Operations يبقى أفضل دفاع، لأن الاستغلال النشط يعني أن نافذة الأمان تضيق يومًا بعد يوم. التخطيط لتحديثات منتظمة وتوثيق إجراءات الاستجابة سيقللان المخاطر التشغيلية على المدى الطويل.