Eine schwerwiegende Sicherheitslücke in Broadcoms VMware Aria Operations wird bereits aktiv von Angreifern ausgenutzt. Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle am 3. März 2026 offiziell als aktiv ausgenutzt eingestuft und gibt Behörden weniger als drei Wochen Zeit, ihre Systeme zu schützen. Für Unternehmen weltweit bedeutet dies höchste Dringlichkeit.
Angesichts solch kritischer Sicherheitslücken zeigt sich, dass viele Betriebe unzureichend auf gezielte Angriffe vorbereitet sind. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen ihre Abwehr stärken, ohne dass die Budgets explodieren. Effektive Schutzstrategien im Experten-Report entdecken
Die Lücke mit der Kennung CVE-2026-22719 bewerten Experten mit einem CVSS-Score von 8,1 als hochkritisch. Sie ermöglicht es Angreifern ohne jegliche Anmeldedaten, beliebige Systembefehle auszuführen und Root-Zugriff zu erlangen. Betroffen sind zahlreiche Unternehmen, die die Plattform zur Verwaltung und Überwachung ihrer Cloud- und Virtualisierungs-Infrastrukturen nutzen.
So funktioniert der Angriff
Bei der Schwachstelle handelt es sich um eine Command-Injection-Lücke in VMware Aria Operations. Das Besondere: Sie ist nur ausnutzbar, während eine produktinterne Migration mit Support-Assistenz aktiv läuft. Doch genau dieses Fenster nutzen Angreifer jetzt aus.
„Die Gefahr ist enorm“, erklärt ein Sicherheitsexperte. „Ein erfolgreicher Angriff eröffnet den kompletten Zugriff auf die zentrale Management-Ebene.“ Von dort aus können Angreifer sich unerkannt im gesamten virtuellen Netzwerk bewegen, sensible Konfigurationsdaten stehlen und sich Zugang zu weiteren Systemen verschaffen – ohne zunächst eine einzige Produktiv-Anwendung zu berühren.
Zeitdruck durch US-Behörden
Die Einstufung durch die US-Behörde CISA ist mehr als eine Warnung. Sie löst eine verbindliche Richtlinie aus: Alle US-Bundesbehörden müssen die Lücke bis zum 24. März 2026 geschlossen haben. Diese Deadline gilt in der Branche als entscheidender Maßstab, dem auch private Unternehmen folgen sollten.
Broadcom selbst hatte die Patches bereits am 24. Februar 2026 bereitgestellt. Nun bestätigte der Konzern, von Berichten über aktive Ausnutzung Kenntnis zu haben. Unklar bleibt, ob hochspezialisierte Hacker die Lücke bereits als Zero-Day-Exploit nutzten, bevor der Patch verfügbar war, oder ob Kriminelle die Sicherheitsaktualisierung nachträglich reverse-engineert haben.
So können sich Unternehmen schützen
Der einzig sichere Weg ist das umgehende Einspielen des Patches. Betroffen sind VMware Aria Operations Versionen 8.x bis 8.18.5 und 9.x bis 9.0.1. Auch integrierte Plattformen wie VMware Cloud Foundation sind gefährdet. Administratoren müssen auf Version 8.18.6 oder 9.0.2.0 updaten.
Für komplexe Umgebungen, in denen ein sofortiges Patchen nicht möglich ist, bietet Broadcom ein Notfall-Skript an. Dieses deaktiviert gezielt die migrationsspezifischen Komponenten, die für den Angriff notwendig sind. Sicherheitsteams sollten zudem ihre Log-Dateien der letzten Wochen genau prüfen, um bereits erfolgte Kompromittierungen auszuschließen.
Management-Ebenen im Fokus von Hackern
Der Fall zeigt einen besorgniserregenden Trend: Angreifer zielen zunehmend auf zentrale Management- und Monitoring-Plattformen ab. Systeme wie Aria Operations oder vCenter genießen oft nicht die gleiche Aufmerksamkeit wie öffentlich erreichbare Server, obwohl sie den Schlüssel zur gesamten Infrastruktur halten.
„Das ist ein Weckruf für IT-Abteilungen weltweit“, so ein Analyst. „Das Prinzip Zero-Trust muss auch für interne Verwaltungswerkzeuge gelten.“ Die alleinige Abhängigkeit von Netzwerksegmentierung reicht nicht aus, wenn die Werkzeuge zur Verwaltung dieser Segmente selbst angreifbar sind.
Während Hacker immer gezielter Infrastrukturen angreifen, fordern neue Regulierungen ein proaktives Handeln der Geschäftsführung. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie die IT-Sicherheit Ihres Unternehmens ohne teure Neueinstellungen nachhaltig verbessern. Kostenlosen Leitfaden zur IT-Sicherheit anfordern
Was jetzt auf Unternehmen zukommt
Bis zur Frist Ende März rechnen Experten mit einer weiteren Zunahme von Scan- und Angriffsversuchen. Es ist wahrscheinlich, dass erste technische Details und Proof-of-Concept-Exploits öffentlich werden, was die Schwelle für weniger versierte Angreifer senkt.
Unternehmen, die jetzt nicht handeln, riskieren Datenabflüsse und massive Betriebsstörungen. Langfristig wird der anhaltende Fokus auf Virtualisierungsplattformen Hersteller zu strengeren Standard-Sicherheitseinstellungen zwingen. Für Unternehmen bedeutet dies: Automatisierte Patch-Management-Prozesse für ihre Kern-IT-Infrastruktur werden überlebenswichtig.
