CISA警告VMware Aria Operations存在被利用的RCE漏洞

2026年3月7日，美国网络安全和基础设施安全局(CISA)发布警告，VMware Aria Operations中的一个远程代码执行(RCE)漏洞正被攻击者在野外积极利用。

漏洞详情

该漏洞被追踪为CVE-2026-22902，是一个严重的远程代码执行漏洞，存在于VMware Aria Operations的特定版本中。成功利用此漏洞的攻击者可以在受影响的系统上执行任意代码。

漏洞特征：

• CVSS评分：9.8（严重）
• 攻击向量：网络
• 攻击复杂度：低
• 权限要求：无
• 用户交互：不需要

受影响版本

以下版本的VMware Aria Operations受到影响：

• 8.12.x 系列
• 8.14.x 系列（8.14.1之前）
• 8.16.x 系列（8.16.2之前）

攻击活动

CISA表示，已观察到攻击者利用此漏洞：

• 部署后门程序
• 窃取敏感数据
• 横向移动到其他系统
• 部署勒索软件

攻击主要针对：

• 大型企业
• 政府机构
• 关键基础设施运营商
• 云服务提供商

修复措施

VMware已发布安全更新修复此漏洞。用户应立即：

1. 升级到以下安全版本：

   • 8.14.1或更高版本
   • 8.16.2或更高版本
   • 8.18.0或更高版本

2. 如果无法立即升级，应实施以下缓解措施：

   • 限制对管理界面的网络访问
   • 监控可疑活动
   • 实施网络分段

CISA建议

CISA已将此漏洞添加到已知被利用漏洞(KEV)目录，并要求联邦机构在2026年3月21日前修复此漏洞。

对于所有组织，CISA建议：

• 立即应用安全更新
• 审查系统日志中的可疑活动
• 实施纵深防御策略
• 准备事件响应计划

VMware安全公告

VMware在官方安全公告中表示："我们强烈建议所有客户立即应用补丁。此漏洞的严重性和被积极利用的状态使其成为最高优先级的安全问题。"

行业影响

VMware Aria Operations是广泛使用的云管理和监控平台，此漏洞的影响范围广泛。安全专家警告，许多组织可能难以及时修补，给攻击者留下可利用的窗口。

历史数据显示，VMware产品中的严重漏洞经常被勒索软件团伙利用，包括：

• ESXiArgs勒索软件（2023年）
• LockBit勒索软件（2024年）
• BlackCat/ALPHV勒索软件（2024-2025年）

检测指南

安全团队应监控以下IOC（入侵指标）：

• 对Aria Operations管理界面的异常访问
• 来自未知IP地址的管理员登录
• 系统上的可疑进程执行
• 异常的网络连接

来源：BleepingComputer、CISA、VMware安全公告