Il 3 marzo 2026 la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiornato il catalogo Known Exploited Vulnerabilities (KEV) inserendo due nuove vulnerabilità attivamente sfruttate: CVE-2026-22719 che colpisce VMware Aria Operations e CVE-2026-21385 che interessa numerosi chipset Qualcomm. Nello stesso periodo Google ha annunciato una modifica strutturale del ciclo di rilascio di Chrome, che dal 8 settembre 2026 con Chrome 153 passerà a una cadenza di aggiornamenti ogni due settimane per i canali Stable e Beta. Le due decisioni, pur riguardando ambiti differenti, convergono su un obiettivo comune: ridurre la finestra di esposizione alle vulnerabilità in ambienti enterprise, infrastrutture critiche e dispositivi utilizzati quotidianamente da miliardi di utenti.
Cosa leggere
CISA aggiorna il catalogo KEV con vulnerabilità attivamente sfruttate
Il catalogo KEV rappresenta uno strumento operativo centrale per la sicurezza federale statunitense. Quando una vulnerabilità viene inserita, significa che esistono prove concrete di sfruttamento in attacchi reali. In base alla Binding Operational Directive 22-01, le agenzie federali civili devono applicare le patch entro una scadenza precisa, in questo caso il 24 marzo 2026. L’inserimento di nuove CVE nel KEV non riguarda solo il perimetro governativo. CISA invita esplicitamente tutte le organizzazioni, pubbliche e private, a trattare queste vulnerabilità come priorità assolute nei programmi di vulnerability management.
CVE-2026-22719: RCE su VMware Aria Operations
La CVE-2026-22719 colpisce VMware Aria Operations 8.x, VMware Cloud Foundation e VMware vSphere Foundation 9.x. Si tratta di una vulnerabilità di command injection con punteggio CVSS 8.1 che consente a un attaccante non autenticato di eseguire comandi arbitrari durante la fase di migrazione assistita dal supporto. Il difetto può portare a remote code execution completa, compromettendo sistemi di monitoraggio e gestione infrastrutturale spesso centrali negli ambienti cloud ibridi. VMware ha pubblicato l’advisory VMSA-2026-0001 il 24 febbraio 2026 e ha reso disponibili le versioni corrette 8.18.6 e 9.0.2.0.
CVE-2026-22719 Broadcom VMware Aria Operations Command Injection Vulnerability
In alternativa temporanea è possibile eseguire lo script di mitigazione aria-ops-rce-workaround.sh come root su ogni nodo per disabilitare i componenti vulnerabili della migrazione. Tuttavia, la mitigazione non sostituisce l’aggiornamento definitivo. CISA conferma che la vulnerabilità risulta sfruttata attivamente in natura, aumentando l’urgenza dell’intervento.
CVE-2026-21385: memory corruption su chipset Qualcomm
La CVE-2026-21385 interessa centinaia di chipset Qualcomm utilizzati in smartphone e tablet Android. La vulnerabilità consiste in una corruzione di memoria che può consentire esecuzione di codice locale con privilegi elevati, senza necessità di interazione dell’utente. Google ha incluso il fix nei bulletin di sicurezza Android di marzo 2026. I dispositivi Pixel ricevono l’aggiornamento immediatamente, mentre altri produttori completano i test prima del rollout ai propri utenti. L’inserimento nel KEV indica che la vulnerabilità è stata sfruttata in attacchi mirati.
CVE-2026-21385 Qualcomm Multiple Chipsets Memory Corruption Vulnerability
Gli utenti devono verificare il livello di patch dalle impostazioni del sistema Android e applicare l’update non appena disponibile. In ambito enterprise, i team IT devono controllare lo stato degli endpoint mobili gestiti tramite MDM.
Chrome passa ai rilasci ogni due settimane da settembre 2026
Parallelamente, Google Chrome adotterà un ciclo di rilascio ogni due settimane a partire da Chrome 153, previsto per l’8 settembre 2026. La modifica riguarda i canali Beta e Stable su Desktop, Android e iOS. I canali Dev e Canary manterranno il ritmo attuale, mentre la versione Extended Stable per ambienti aziendali continuerà con cadenza di otto settimane. Google motiva la decisione con la necessità di distribuire aggiornamenti più piccoli e frequenti, riducendo la complessità delle release e semplificando il debugging post-rilascio. Aggiornamenti più frequenti permettono di ridurre la finestra di esposizione alle vulnerabilità, soprattutto in un contesto in cui il browser rappresenta una delle principali superfici di attacco. Le correzioni di sicurezza continueranno a essere distribuite con aggiornamenti settimanali, mentre le release bisettimanali includeranno feature e miglioramenti incrementali. Gli utenti finali riceveranno aggiornamenti più leggeri con riavvii silenziosi in background, limitando l’impatto operativo.
Impatto su enterprise e infrastrutture critiche
Le azioni coordinate di marzo 2026 mostrano una strategia multilivello di rafforzamento della sicurezza. Da un lato, CISA spinge per la remediation rapida di vulnerabilità sfruttate in infrastrutture cloud e dispositivi mobili. Dall’altro, Google accorcia il ciclo di rilascio di uno dei software più utilizzati al mondo per distribuire patch in modo più agile. La vulnerabilità VMware impatta ambienti di monitoraggio e gestione cloud, spesso integrati in architetture mission critical. La vulnerabilità Qualcomm interessa invece endpoint mobili diffusi su larga scala. Chrome, infine, rappresenta l’interfaccia quotidiana di accesso a servizi web aziendali e pubblici. La combinazione di patch urgenti e aggiornamenti più frequenti riduce la superficie di attacco complessiva ma richiede organizzazioni più mature dal punto di vista operativo. I team IT devono integrare cicli di patching più rapidi, automatizzare i test e adattare i processi di change management.
Priorità operative per le organizzazioni
Le agenzie federali USA devono completare la remediation entro il 24 marzo 2026. Le aziende private dovrebbero adottare la stessa tempistica come best practice. Per VMware Aria Operations l’upgrade alle versioni corrette costituisce la mitigazione definitiva. Per Qualcomm è necessario verificare la distribuzione delle patch Android sui dispositivi aziendali. In vista del nuovo ciclo Chrome, le organizzazioni devono valutare se mantenere il canale Standard bisettimanale o utilizzare Extended Stable per ambienti che richiedono finestre di test più lunghe. La gestione centralizzata delle policy browser diventa ancora più importante per evitare frammentazione delle versioni. Le decisioni di CISA e Google indicano una direzione chiara: ridurre il tempo tra scoperta della vulnerabilità, patch e distribuzione su larga scala. In un panorama di minacce in continua evoluzione, la velocità di aggiornamento rappresenta ormai un elemento essenziale della postura di sicurezza.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
