أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية حرجة تؤثر في منصة VMware Aria Operations ضمن كتالوج الثغرات المعروفة المستغلة (KEV). يشكل هذا الإجراء تأكيداً رسمياً على رصد محاولات استغلال فعلية لهذه الثغرة في هجمات سيبرانية واقعية وفق البيانات المحدثة في 3 مارس 2026.
تحمل الثغرة المعرف CVE-2026-22719، وتصنف ضمن فئة حقن الأوامر (Command Injection). تسمح هذه الثغرة بتنفيذ أوامر اعتباطية عن بُعد دون الحاجة إلى تسجيل دخول أو مصادقة. وقد حددت شركة Broadcom مستوى خطورة الثغرة عند درجة 8.1 وفق مقياس CVSS، واصفة إياها بالهامة نظراً لارتباطها بظروف تشغيلية محددة تتعلق بمرحلة الترحيل المدعوم للمنتج (Support-assisted product migration).
تفرض تعليمات CISA على الجهات الفيدرالية ضرورة معالجة هذا الخلل قبل تاريخ 24 مارس 2026. وفي سياق متصل، أوضحت Broadcom أنها تلقت تقارير تشير إلى احتمالية وجود استغلال نشط في البيئات العملياتية، ورغم عدم وجود تأكيد مستقل شامل لهذه التقارير، فإن إدراج الثغرة في قائمة KEV يرفع أولوية التصحيح البرمجي لدى مديري أمن المعلومات داخل المؤسسات الكبرى التي تتبع منهجية تقييم المخاطر.
اتساع نطاق التأثير وتعدد الثغرات المرتبطة بالحزم البرمجية
أظهرت النشرات الفنية الصادرة عن Broadcom أن التأثير لا ينحصر في تطبيق VMware Aria Operations كمنتج منفرد، بل يمتد ليشمل حزم الأنظمة المتكاملة التي تدمج هذه المنصة ضمن مكوناتها. تشتمل قائمة الأنظمة المتأثرة على VMware Cloud Foundation وVMware Telco Cloud Platform بالإضافة إلى VMware Telco Cloud Infrastructure. يتطلب هذا الوضع من فرق تقنية المعلومات إجراء فحص دقيق لخرائط الأصول الرقمية، فقد توجد الأنظمة المصابة ضمن حزم برمجية لا تظهر بشكل مباشر في عمليات الجرد التقليدية للأجهزة والبرامج.
تتعامل الفرق الأمنية حالياً مع 3 ثغرات مترابطة جرى الكشف عنها بالتزامن. فإلى جانب CVE-2026-22719، تبرز الثغرة CVE-2026-22720 المصنفة كاختراق عبر المواقع (Stored XSS) بدرجة خطورة 8.0، والثغرة CVE-2026-22721 المتعلقة بتصعيد الصلاحيات (Privilege Escalation) بدرجة 6.2. ورصد الخبراء تعقيداً في عملية الاستجابة، إذ إن الحلول المؤقتة المتاحة للثغرة الأولى لا توفر حماية ضد الثغرتين الأخريين، ما يبقي أبواباً مفتوحة في سطح الهجوم إذا اكتفت المؤسسات بمعالجة جزئية.
تؤكد Broadcom أن الاعتماد على النصوص البرمجية كحلول مؤقتة يمثل إجراءً احترازياً محدود الأثر. تظل التحديثات الشاملة للإصدارات المصححة هي المسار الوحيد لضمان إغلاق كافة الثغرات المكتشفة، خاصة في البيئات التي تتصل فيها أنظمة الإدارة بواجهات مستخدمين متعددة أو خدمات سحابية متكاملة.
مخاطر مرحلة الترحيل ومسارات الإصلاح الجذري
تحدث عملية الاستغلال غالباً أثناء تنفيذ عمليات انتقال المنتج أو تحديثه بمساندة الدعم الفني، وهي الفترة التي تشهد عادةً فتح مسارات وصول إضافية أو تفعيل خدمات مساعدة لتسهيل نقل البيانات. تمثل هذه النافذة الزمنية فرصة للمهاجمين للوصول إلى النظام في حالة ضعف أمني مؤقت. وتوصي التوجيهات التقنية بضرورة تشديد الرقابة على الشبكة وتقييد الوصول إلى واجهات الإدارة خلال فترات الترحيل التي قد تستغرق وقتاً طويلاً في المؤسسات الضخمة.
طرحت Broadcom إصدارات آمنة لمعالجة هذه التهديدات بشكل نهائي، حيث يتوجب على المستخدمين الترقية إلى الإصدارات VMware Aria Operations 8.18.6 أو 9.0.2. تشمل قائمة الإصدارات المعرضة للخطر كافة النسخ السابقة حتى 8.18.5 و9.0.1.
تتجه المؤسسات خارج الولايات المتحدة حالياً إلى تبني توصيات CISA كتحذير تشغيلي ملزم عملياً لضمان استمرارية الأعمال. تشمل الخطوات التنفيذية المقترحة حصر كافة الأنظمة المتأثرة، وتقليص صلاحيات الوصول إلى الحد الأدنى (Least Privilege)، ومراقبة سجلات النظام بحثاً عن أي مؤشرات اختراق تزامنت مع فترات الترحيل السابقة. يمثل إدراج هذه الثغرة في قائمة KEV نقطة تحول تستدعي مراجعة شاملة لخطط الاستجابة للحوادث السيبرانية المرتبطة بالبنية التحتية الافتراضية.
