Badan Keamanan Siber dan Infrastruktur Amerika Serikat, Cybersecurity and Infrastructure Security Agency (CISA), pada Selasa mengumumkan penambahan satu kerentanan keamanan terbaru ke dalam katalog Known Exploited Vulnerabilities (KEV). Kerentanan tersebut, CVE-2026-22719, berdampak pada produk Broadcom VMware Aria Operations dan disebut telah mengalami eksploitasi aktif di lapangan. Keputusan ini menandai eskalasi risiko dari sekadar kelemahan teknis menjadi ancaman operasional yang terverifikasi.
CVE-2026-22719 memiliki skor CVSS 8.1 dan diklasifikasikan sebagai kerentanan tingkat tinggi. Secara teknis, celah ini merupakan kasus command injection yang memungkinkan penyerang tidak terautentikasi untuk mengeksekusi perintah arbitrer pada sistem terdampak. Dalam skenario terburuk, eksploitasi dapat berujung pada remote code execution ketika proses migrasi produk dengan bantuan dukungan (support-assisted product migration) sedang berlangsung.
Broadcom, sebagai pemilik VMware, menjelaskan dalam advisori resmi yang dirilis akhir bulan lalu bahwa aktor jahat tanpa kredensial dapat memanfaatkan kelemahan ini untuk menjalankan perintah sistem. Jika kondisi tertentu terpenuhi, termasuk saat migrasi produk berlangsung, eksekusi perintah tersebut dapat meningkat menjadi eksekusi kode jarak jauh di lingkungan VMware Aria Operations. Konteks ini penting karena banyak organisasi mengandalkan Aria Operations untuk pemantauan, manajemen performa, dan visibilitas infrastruktur virtual mereka.
Selain CVE-2026-22719, pembaruan keamanan yang sama juga mengatasi dua kerentanan lain. CVE-2026-22720 diidentifikasi sebagai stored cross-site scripting (XSS), yang berpotensi memungkinkan injeksi skrip berbahaya yang tersimpan dan dieksekusi pada sisi klien. Sementara itu, CVE-2026-22721 merupakan celah privilege escalation yang dapat membuka jalan bagi peningkatan hak akses hingga tingkat administratif. Kombinasi tiga kerentanan ini mencerminkan spektrum risiko yang luas, mulai dari injeksi perintah hingga eskalasi hak istimewa.
Produk yang terdampak mencakup VMware Cloud Foundation dan VMware vSphere Foundation versi 9.x.x.x, yang telah diperbaiki pada rilis 9.0.2.0. VMware Aria Operations versi 8.x juga terdampak dan telah mendapatkan perbaikan pada versi 8.18.6. Organisasi yang menjalankan stack virtualisasi berbasis VMware dalam skala enterprise perlu memastikan versi yang digunakan telah diperbarui sesuai dengan rekomendasi vendor.
Bagi pelanggan yang belum dapat menerapkan patch secara langsung, Broadcom menyediakan langkah mitigasi sementara. Pengguna dapat mengunduh dan menjalankan skrip shell bernama “aria-ops-rce-workaround.sh” sebagai root pada setiap node Aria Operations Virtual Appliance. Pendekatan ini dimaksudkan sebagai kontrol sementara untuk menurunkan risiko eksploitasi hingga pembaruan resmi dapat diterapkan. Namun, seperti praktik umum dalam manajemen kerentanan, mitigasi tidak menggantikan kebutuhan patch permanen.
Hingga saat ini, tidak ada rincian teknis yang dipublikasikan mengenai bagaimana eksploitasi dilakukan di lapangan, siapa aktor di baliknya, maupun skala kampanye serangan tersebut. Ketiadaan detail ini bukan hal yang tidak lazim, terutama ketika eksploitasi masih aktif dan berpotensi meluas. Pengungkapan teknis yang terlalu dini dapat meningkatkan risiko copycat attack atau eksploitasi massal sebelum organisasi sempat memperbarui sistem mereka.
Dalam pembaruan buletinnya, Broadcom menyatakan pihaknya mengetahui adanya laporan potensi eksploitasi CVE-2026-22719 di alam liar, tetapi belum dapat mengonfirmasi secara independen validitas laporan tersebut. Pernyataan ini menegaskan bahwa meskipun ada indikasi aktivitas eksploitasi, verifikasi teknis penuh masih berlangsung. Di sisi lain, langkah CISA memasukkan kerentanan ini ke katalog KEV menunjukkan bahwa otoritas federal menilai risiko yang ada cukup signifikan untuk memicu respons kebijakan.
Katalog Known Exploited Vulnerabilities milik CISA berfungsi sebagai daftar prioritas kerentanan yang telah terbukti dieksploitasi secara aktif. Ketika sebuah CVE masuk ke dalam daftar ini, implikasinya langsung terasa bagi lembaga federal Amerika Serikat. Dalam kasus CVE-2026-22719, lembaga di bawah Federal Civilian Executive Branch (FCEB) diwajibkan menerapkan perbaikan paling lambat 24 Maret 2026. Tenggat waktu ini mencerminkan urgensi mitigasi terhadap potensi ancaman terhadap infrastruktur pemerintah.
Bagi organisasi di luar sektor federal, masuknya sebuah kerentanan ke dalam katalog KEV sering kali menjadi indikator bahwa eksploitasi tidak lagi bersifat teoretis. Bagi tim keamanan, ini berarti penyesuaian prioritas patch management, evaluasi exposure surface, serta peninjauan kontrol deteksi seperti intrusion detection system dan monitoring log pada node Aria Operations. Mengingat sifat command injection yang memungkinkan eksekusi perintah sistem, dampaknya dapat meluas dari kompromi aplikasi hingga pengambilalihan infrastruktur virtual yang lebih luas.
VMware Aria Operations sendiri berperan penting dalam orkestrasi dan observabilitas lingkungan virtual dan cloud hybrid. Kerentanan pada komponen ini berpotensi berdampak pada visibilitas dan stabilitas sistem, terutama jika dieksploitasi selama proses migrasi atau perubahan konfigurasi. Dalam arsitektur enterprise, komponen manajemen sering kali memiliki hak akses tinggi, sehingga risiko privilege escalation dan lateral movement menjadi perhatian tersendiri.
Tanpa detail eksploitasi yang dipublikasikan, sulit menilai vektor serangan yang digunakan atau kompleksitasnya. Namun, fakta bahwa celah ini dapat dieksploitasi oleh aktor tanpa autentikasi memperluas potensi ancaman, terutama jika sistem terpapar ke jaringan yang tidak sepenuhnya tersegmentasi. Dalam praktik keamanan, prinsip least privilege dan isolasi jaringan tetap menjadi kontrol krusial untuk meminimalkan dampak jika terjadi kompromi.
Dengan tenggat waktu resmi dari CISA dan ketersediaan patch dari vendor, fokus kini beralih pada kecepatan respons organisasi. Pengalaman sebelumnya menunjukkan bahwa rentang waktu antara pengungkapan dan eksploitasi massal dapat sangat singkat, khususnya ketika detail teknis mulai tersebar di komunitas keamanan. Oleh karena itu, pembaruan sistem dan verifikasi konfigurasi menjadi langkah defensif yang paling rasional.
Penambahan CVE-2026-22719 ke katalog KEV menegaskan bahwa kerentanan pada komponen manajemen infrastruktur tidak boleh dipandang sebagai isu sekunder. Dalam banyak kasus, kontrol manajemen justru menjadi target bernilai tinggi karena menyediakan jalur akses terpusat ke sumber daya kritis. Bagi praktisi IT dan keamanan, perkembangan ini menjadi pengingat bahwa visibilitas dan manajemen kerentanan harus berjalan beriringan, terutama pada platform virtualisasi dan cloud yang menjadi tulang punggung operasional organisasi modern.
