Кибербезопасность - это гонка, в которой злоумышленники часто используют старые, но проверенные методы. Агентство кибербезопасности и инфраструктурной безопасности США, известное как CISA, вновь напоминает об этом, добавив пять новых пунктов в свой каталог активно эксплуатируемых уязвимостей, или KEV (Known Exploited Vulnerabilities). Этот шаг свидетельствует о том, что перечисленные уязвимости не просто существуют в теории, а используются злоумышленниками в реальных атаках прямо сейчас, представляя значительный риск, особенно для государственных учреждений и критической инфраструктуры. Внимание специалистов приковано к проблемам в продуктах Hikvision, Rockwell Automation и Apple, что подчеркивает широту угрозы - от систем видеонаблюдения и промышленных сетей до персональных устройств миллионов пользователей.
Детали уязвимостей
В центре внимания оказалась уязвимость в камерах видеонаблюдения Hikvision, получившая идентификатор CVE-2017-7921. Проблема, классифицируемая как недостаточная аутентификация, была обнаружена еще в 2017 году и затрагивает целый ряд серийных устройств. Суть уязвимости заключается в том, что злоумышленник может получить доступ к функциям системы, минуя процедуру проверки подлинности. На практике это означает возможность несанкционированного просмотра видео с камер, их отключения или даже изменения конфигурации. Учитывая повсеместное использование подобных устройств для охраны объектов критической инфраструктуры, коммерческих предприятий и частной собственности, потенциальные последствия такой эксплуатации весьма серьезны - от нарушения конфиденциальности до создания слепых зон в системах физической безопасности.
Не менее тревожной выглядит ситуация в промышленном сегменте. Уязвимость CVE-2021-22681 обнаружена в программном обеспечении Rockwell Automation, а именно в Studio 5000 Logix Designer и RSLogix 5000, которые используются для программирования программируемых логических контроллеров. Проблема заключается в недостаточной защите учетных данных, что позволяет неавторизованному злоумышленнику обойти механизм проверки подлинности и получить контроль над критически важными промышленными контроллерами серий CompactLogix, ControlLogix и других. Эксплуатация этой уязвимости в системах управления технологическими процессами может привести к катастрофическим последствиям: остановке производственных линий, порче оборудования, а в худшем случае - к созданию угрозы жизни и здоровью людей. Тот факт, что CISA сочла необходимым внести эту, уже не новую, проблему в каталог KEV, говорит о сохраняющейся высокой активности групп, нацеленных на промышленный шпионаж и саботаж.
Особенностью текущего обновления каталога стало внимание к продуктам Apple. Агентство одновременно добавило три уязвимости, затрагивающие операционные системы iOS, iPadOS, macOS и браузер Safari. Две из них, CVE-2023-41974 и CVE-2023-43000, относятся к классу use-after-free (использование после освобождения). Это ошибка управления памятью, когда программа продолжает использовать указатель на уже освобожденный участок памяти. Злоумышленник, способный манипулировать таким состоянием, может вызвать повреждение памяти, что часто приводит к выполнению произвольного кода. В случае с CVE-2023-41974 это позволяет приложению выполнить код с привилегиями ядра, что фактически дает полный контроль над устройством. Третья уязвимость, CVE-2021-30952, связана с целочисленным переполнением, что также является классическим способом нарушения целостности памяти и последующего выполнения произвольных команд.
Объединяет все три уязвимости Apple вектор атаки - обработка специально созданного вредоносного веб-контента. Это означает, что для потенциального взлома пользователю может быть достаточно просто перейти по ссылке в Safari или в другом приложении, использующем движок WebKit. Учитывая миллиардный парк устройств Apple по всему миру, включая корпоративные iPhone и Mac, используемые сотрудниками, эти уязвимости становятся лакомой целью для злоумышленников, занимающихся целевыми атаками или массовым распространением шпионского ПО. Более того, тот факт, что уязвимости были исправлены в 2021, 2023 и 2024 годах, но их эксплуатация фиксируется сейчас, ярко иллюстрирует проблему запаздывания с обновлениями. Многие пользователи и компании откладывают установку критических патчей, оставляя свои системы открытыми для известных угроз.
Что же делать специалистам по информационной безопасности в свете этого предупреждения?
- Необходимо немедленно провести инвентаризацию активов. Требуется выявить все устройства Hikvision из уязвимых серий, системы управления Rockwell Automation на базе затронутого программного обеспечения, а также устройства Apple с устаревшими версиями операционных систем.
- Критически важно в приоритетном порядке установить все доступные обновления безопасности. Для устройств Apple это означает обновление до iOS/iPadOS 17, macOS Ventura 13.5 или более новых версий, а также Safari 16.6 и выше. Для продуктов Rockwell и Hikvision необходимо обратиться к вендорам за исправлениями и инструкциями по обновлению прошивок.
- Если немедленное обновление невозможно, необходимо реализовать компенсирующие меры контроля. Для камер видеонаблюдения это изоляция их в отдельные сегменты сети с строгим контролем входящего и исходящего трафика. Для промышленных систем - сегментация сетей операционных технологий от IT-инфраструктуры и мониторинг любых аномальных попыток доступа к контроллерам.
Таким образом, обновление каталога KEV от CISA служит своевременным напоминанием о том, что киберугрозы носят персистентный, то есть устойчивый, характер. Злоумышленники активно сканируют интернет в поисках систем, не защищенных от давно известных уязвимостей, превращая забывчивость или нерасторопность администраторов в свой главный ресурс. В условиях, когда атаки становятся все более изощренными, базовые принципы гигиены кибербезопасности - своевременное обновление, сегментация сетей и принцип наименьших привилегий - остаются наиболее эффективной и надежной защитой для организаций любого масштаба. Игнорирование подобных предупреждений может привести не только к утечке данных, но и к ощутимым операционным и финансовым потерям.
Ссылки
- https://www.cisa.gov/news-events/alerts/2026/03/05/cisa-adds-five-known-exploited-vulnerabilities-catalog
- https://www.cve.org/CVERecord?id=CVE-2023-43000
- https://www.cve.org/CVERecord?id=CVE-2023-41974
- https://www.cve.org/CVERecord?id=CVE-2021-30952
- https://www.cve.org/CVERecord?id=CVE-2021-22681
- https://www.cve.org/CVERecord?id=CVE-2017-7921
