Агентство кибербезопасности и инфраструктурной безопасности США (CISA) обновило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, или KEV). Добавление в этот список означает, что у регулятора есть подтвержденные свидетельства активного использования этих недостатков безопасности в реальных атаках. Всего в каталог попали семь новых записей, охватывающих продукты Microsoft, Adobe и Fortinet. Данный шаг служит прямым сигналом для организаций по всему миру о необходимости срочного применения обновлений, поскольку промедление создает серьезные операционные риски.
Детали уязвимостей
В центре внимания на этот раз оказались как сравнительно свежие, так и исторические уязвимости. Наиболее примечательной является CVE-2012-1854 - проблема в Microsoft Visual Basic for Applications (VBA), связанная с небезопасной загрузкой библиотек. Несмотря на почтенный возраст (уязвимость была опубликована в 2012 году), она до сих пор представляет угрозу. Механизм атаки, известный как DLL-подмена, позволяет злоумышленнику с локальным доступом выполнить произвольный код с повышенными привилегиями, просто поместив вредоносную библиотеку в каталог с документом Office. Тот факт, что CISA включает такую старую уязвимость в каталог KEV, указывает на её возрождение в новых кампаниях, возможно, в сочетании с другими эксплойтами для полного закрепления в системе.
Серьезную озабоченность вызывают и проблемы в критически важной инфраструктуре. Уязвимость CVE-2023-21529 в Microsoft Exchange Server, связанная с десериализацией непроверенных данных, позволяет аутентифицированному пользователю выполнить удалённый код на сервере. Учитывая центральную роль Exchange в корпоративных коммуникациях, успешная эксплуатация этой уязвимости открывает злоумышленникам путь к полному контролю над почтовыми серверами, краже конфиденциальной переписки и дальнейшему продвижению по корпоративной сети. Это классический вектор для целевых атак на бизнес и государственные учреждения.
Две другие уязвимости Microsoft - CVE-2023-36424 и CVE-2025-60710 - нацелены на операционные системы Windows. Первая является ошибкой чтения за границами буфера (out-of-bounds read) в драйвере общей файловой системы журналов (Common Log File System Driver), которая может привести к повышению привилегий локальным пользователем. Вторая, более свежая CVE-2025-60710, затрагивает механизм разрешения ссылок (link following) в процессе для задач Windows и также позволяет локально повысить права. Подобные уязвимости часто используются в цепочках эксплойтов после первоначального проникновения в систему для получения прав администратора и закрепления.
Продукты Adobe, будучи повсеместно распространёнными, традиционно являются лакомой целью. В каталог попали две уязвимости в Acrobat и Reader. CVE-2020-9715 - это уязвимость типа "использование после освобождения" (use-after-free), успешная эксплуатация которой приводит к выполнению произвольного кода при открытии специально созданного PDF-файла. Более новая CVE-2026-34621 представляет собой пример "загрязнения прототипа" (prototype pollution) - уязвимости в языке JavaScript, позволяющей модифицировать базовые объекты приложения и, как следствие, также выполнить код в контексте текущего пользователя. Обе атаки требуют взаимодействия с пользователем, что делает фишинг с вложением PDF основным вектором их распространения.
Отдельного внимания заслуживает CVE-2026-21643 в продукте Fortinet FortiClientEMS (система управления конечными точками). Это критическая уязвимость, связанная с внедрением SQL-кода (SQL injection), которая оценивается в 9.1 балла по шкале CVSS. Она позволяет неаутентифицированному злоумышленнику выполнять произвольные команды на сервере управления, отправляя специально сформированные HTTP-запросы. Учитывая, что FortiClientEMS является центральным элементом защиты конечных точек во многих организациях, компрометация этой системы предоставляет атакующему беспрецедентный контроль над развёрнутыми агентами безопасности.
Активная эксплуатация означает, что эксплойты для этих уязвимостей уже существуют в открытом доступе или используются продвинутыми группировками, что резко сокращает "окно опасности" для организаций.
Эксперты отмечают, что представленный набор уязвимостей иллюстрирует типичную тактику современных злоумышленников. Они комбинируют свежие уязвимости для первоначального доступа с давно известными, но до сих пор не исправленными на многих системах, для расширения привилегий и перемещения по сети. Наличие в списке уязвимостей 2012 и 2020 годов красноречиво свидетельствует о проблемах с гигиеной обновлений даже в условиях повышенных киберугроз. Таким образом, рекомендации для специалистов по информационной безопасности остаются неизменными, но оттого не менее актуальными: необходимо незамедлительно развернуть все доступные обновления безопасности от вендоров, уделив особое внимание серверам Exchange, системам управления и рабочим станциям с офисным программным обеспечением. Кроме того, следует рассмотреть возможность применения временных обходных путей, если установка патча невозможна, и усилить мониторинг сетевой активности на предмет признаков эксплуатации перечисленных уязвимостей.
Ссылки
- https://www.cisa.gov/news-events/alerts/2026/04/13/cisa-adds-seven-known-exploited-vulnerabilities-catalog
- https://www.cve.org/CVERecord?id=CVE-2020-9715
- https://www.cve.org/CVERecord?id=CVE-2023-21529
- https://www.cve.org/CVERecord?id=CVE-2023-36424
- https://www.cve.org/CVERecord?id=CVE-2025-60710
- https://www.cve.org/CVERecord?id=CVE-2026-21643
- https://www.cve.org/CVERecord?id=CVE-2026-34621
- https://www.cve.org/CVERecord?id=CVE-2012-1854
