ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı CISA, VMware altyapılarını etkileyen kritik bir güvenlik açığını resmi Known Exploited Vulnerabilities (KEV) kataloğuna ekledi.
Söz konusu açık CVE-2026-22719 olarak takip ediliyor ve saldırganların kimlik doğrulaması olmadan hedef sistemde komut çalıştırmasına olanak tanıyabiliyor.
Bu durum, özellikle VMware altyapısı kullanan kurumlar için uzaktan kod çalıştırma (RCE) riski anlamına geliyor. Daha da önemlisi, güvenlik açığının internet üzerinde aktif olarak istismar edildiğine dair raporlar bulunuyor.
CVE-2026-22719, VMware Aria Operations platformunda bulunan bir command injection (komut enjeksiyonu) güvenlik açığıdır.
Bu açık sayesinde saldırganlar:
VMware tarafından yapılan açıklamaya göre bu açık, özellikle destek yardımıyla ürün taşıma (support-assisted migration) işlemleri sırasında ortaya çıkıyor.
Bu süreçte saldırgan bir kişi, zafiyeti kullanarak sistem üzerinde komut çalıştırabilir ve bu da Remote Code Execution (RCE) ile sonuçlanabilir.
Aşağıdaki VMware ürünleri bu güvenlik açığından etkileniyor:
Etkilenen sistemler
Yayınlanan güvenli sürümler
Bu sürümlere güncelleme yapılması, açığın kapatılması için en kritik adım olarak görülüyor.
VMware, CVE-2026-22719 ile birlikte iki farklı güvenlik açığını daha düzeltti.
Stored Cross-Site Scripting (XSS) zafiyeti içeriyor.
Saldırganların sistemde zararlı script çalıştırmasına yol açabilir.
Privilege escalation zafiyeti içeriyor.
Yetkisi düşük bir kullanıcı, sistemde yönetici hakları elde edebilir.
Bu üç açık birlikte kullanıldığında, saldırganların sistem üzerinde tam kontrol sağlaması mümkün hale gelebilir.
VMware, henüz güncelleme yapamayan kullanıcılar için geçici bir çözüm de paylaştı.
Kullanıcılar aşağıdaki script’i root olarak çalıştırarak geçici koruma sağlayabilir:
aria-ops-rce-workaround.sh
Script, Aria Operations Virtual Appliance üzerinde çalıştırılmalıdır.
Ancak güvenlik uzmanlarına göre kalıcı çözüm mutlaka patch uygulamaktır.
CISA, açığın aktif olarak saldırganlar tarafından kullanılma ihtimali nedeniyle konuyu KEV (Known Exploited Vulnerabilities) listesine ekledi.
Bu listeye eklenen açıklar genellikle:
Bu nedenle ABD’deki Federal kurumlara 24 Mart 2026 tarihine kadar güncelleme yapma zorunluluğu getirildi.
Şu an için:
gibi detaylar henüz resmi olarak açıklanmış değil.
Broadcom yaptığı açıklamada şu ifadeyi kullandı:
Söz konusu açık CVE-2026-22719 olarak takip ediliyor ve saldırganların kimlik doğrulaması olmadan hedef sistemde komut çalıştırmasına olanak tanıyabiliyor.
Bu durum, özellikle VMware altyapısı kullanan kurumlar için uzaktan kod çalıştırma (RCE) riski anlamına geliyor. Daha da önemlisi, güvenlik açığının internet üzerinde aktif olarak istismar edildiğine dair raporlar bulunuyor.
CVE-2026-22719 Nedir?
CVE-2026-22719, VMware Aria Operations platformunda bulunan bir command injection (komut enjeksiyonu) güvenlik açığıdır.
Bu açık sayesinde saldırganlar:
- Sisteme giriş yapmadan saldırı başlatabilir
- Sunucuda rastgele komut çalıştırabilir
- Sistemi tamamen ele geçirebilir
- Veri sızıntısı veya altyapı manipülasyonu gerçekleştirebilir
VMware tarafından yapılan açıklamaya göre bu açık, özellikle destek yardımıyla ürün taşıma (support-assisted migration) işlemleri sırasında ortaya çıkıyor.
Bu süreçte saldırgan bir kişi, zafiyeti kullanarak sistem üzerinde komut çalıştırabilir ve bu da Remote Code Execution (RCE) ile sonuçlanabilir.
Açığın Etkilediği VMware Sistemleri
Aşağıdaki VMware ürünleri bu güvenlik açığından etkileniyor:
Etkilenen sistemler
- VMware Cloud Foundation
- VMware vSphere Foundation 9.x
- VMware Aria Operations 8.x
Yayınlanan güvenli sürümler
- VMware Cloud Foundation / vSphere Foundation → 9.0.2.0
- VMware Aria Operations → 8.18.6
Bu sürümlere güncelleme yapılması, açığın kapatılması için en kritik adım olarak görülüyor.
Aynı Gün Yayınlanan Diğer Güvenlik Açıkları
VMware, CVE-2026-22719 ile birlikte iki farklı güvenlik açığını daha düzeltti.
CVE-2026-22720
Stored Cross-Site Scripting (XSS) zafiyeti içeriyor.
Saldırganların sistemde zararlı script çalıştırmasına yol açabilir.
CVE-2026-22721
Privilege escalation zafiyeti içeriyor.
Yetkisi düşük bir kullanıcı, sistemde yönetici hakları elde edebilir.
Bu üç açık birlikte kullanıldığında, saldırganların sistem üzerinde tam kontrol sağlaması mümkün hale gelebilir.
Güncelleme Yapamayanlar İçin Geçici Çözüm
VMware, henüz güncelleme yapamayan kullanıcılar için geçici bir çözüm de paylaştı.
Kullanıcılar aşağıdaki script’i root olarak çalıştırarak geçici koruma sağlayabilir:
aria-ops-rce-workaround.sh
Script, Aria Operations Virtual Appliance üzerinde çalıştırılmalıdır.
Ancak güvenlik uzmanlarına göre kalıcı çözüm mutlaka patch uygulamaktır.
CISA’dan Kurumlara Acil Uyarı
CISA, açığın aktif olarak saldırganlar tarafından kullanılma ihtimali nedeniyle konuyu KEV (Known Exploited Vulnerabilities) listesine ekledi.
Bu listeye eklenen açıklar genellikle:
- aktif saldırılarda kullanılır
- devlet kurumlarını hedef alabilir
- kritik altyapıları riske atabilir
Bu nedenle ABD’deki Federal kurumlara 24 Mart 2026 tarihine kadar güncelleme yapma zorunluluğu getirildi.
Saldırıların Arkasında Kim Var?
Şu an için:
- saldırıların kim tarafından yapıldığı
- ne kadar yaygın olduğu
- hangi kurumların hedef alındığı
gibi detaylar henüz resmi olarak açıklanmış değil.
Broadcom yaptığı açıklamada şu ifadeyi kullandı:
bu konu spyhackerz.org için hazırlamıştır, izinsiz kopyalamayın.
