Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) обновило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Этот шаг сигнализирует о том, что обнаружены реальные случаи использования трёх новых уязвимостей злоумышленниками в дикой среде. Все они затрагивают широко распространённые продукты для управления корпоративной ИТ-инфраструктурой: решения от Omnissa (ранее VMware), SolarWinds и Ivanti. Включение в каталог KEV обязывает федеральные агентства США в срочном порядке установить исправления, однако эти предупреждения критически важны и для глобального бизнес-сообщества, поскольку атаки носят массовый характер. Три добавленные уязвимости демонстрируют разнообразие тактик: от обхода аутентификации до выполнения произвольного кода, что создаёт прямую угрозу конфиденциальности данных и целостности систем.
Детали уязвимостей
Первой в списке значится CVE-2021-22054 - уязвимость типа «подделка межсерверных запросов» (Server-Side Request Forgery, SSRF) в консоли управления унифицированными конечными точками Omnissa Workspace ONE (ранее VMware Workspace ONE UEM). Она была обнаружена ещё в 2021 году, но её активная эксплуатация подтверждает, что многие системы до сих пор не обновлены. Проблема затрагивает несколько версий продукта, выпущенных до исправлений. Суть уязвимости заключается в том, что злоумышленник, имеющий доступ к сети, может отправлять несанкционированные запросы от имени сервера к внутренним ресурсам. Это позволяет атакующему, минуя аутентификацию, получать доступ к конфиденциальной информации, которая в обычных условиях извне недоступна, например, к метаданным облачных служб или данным внутренних систем. Длительное присутствие такой уязвимости в инфраструктуре управления мобильными устройствами (Unified Endpoint Management) представляет особый риск, так как эти системы являются хранилищем ключей, политик и часто обладают высокими привилегиями в корпоративной сети.
Второй, и наиболее критической с точки зрения оценки CVSS, является CVE-2025-26399 в продукте SolarWinds Web Help Desk. Её уровень опасности оценён в 9.8 баллов из 10. Это уязвимость, связанная с десериализацией непроверенных данных, которая позволяет удалённо выполнить произвольный код без аутентификации. Проще говоря, атакующий может отправить специально сформированные данные на сервер службы поддержки, что заставит приложение выполнить вредоносные команды на хосте с правами самого приложения. Особенно тревожным является тот факт, что данная проблема является уже третьим по счёту обходом исправления для одной и той же компоненты AjaxProxy. Ранее были выпущены патчи для CVE-2024-28986 и CVE-2024-28988, однако они оказались неэффективными. Такая ситуация является ярким примером «игры в кошки-мышки» между разработчиками и исследователями безопасности и подчёркивает сложность корректного устранения фундаментальных архитектурных недостатков в коде. Эксплуатация этой уязвимости даёт злоумышленнику полный контроль над сервером, на котором развёрнут Web Help Desk, что может стать начальной точкой для дальнейшего движения по сети.
Третья уязвимость, CVE-2026-1603, касается системы управления конечными точками Ivanti Endpoint Manager (EPM) и представляет собой обход аутентификации. Она позволяет удалённому атакующему без каких-либо учётных данных получить доступ к определённым хранимым учётным данным. Хотя оценка CVSS (8.6) указывает на высокий, а не критический уровень, последствия могут быть крайне серьёзными. Утечка учетных данных, особенно из системы, которая управляет тысячами корпоративных устройств, является золотой жилой для злоумышленников. Похищенные данные могут быть использованы для вертикальной эскалации привилегий, горизонтального перемещения по сети или для скрытного закрепления в системе. Важно отметить, что Ivanti в последние годы неоднократно становилась мишенью для сложных кибератак, в том числе со стороны продвинутых постоянных угроз, что делает любую новую уязвимость в её продуктах предметом пристального внимания хакеров. Уязвимость затрагивает все версии EPM до обновления 2024 SU5.
Активная эксплуатация этих трёх, казалось бы, разрозненных уязвимостей указывает на общую тенденцию: киберпреступники целенаправленно сканируют интернет в поисках непропатченных корпоративных систем управления. Такие платформы, как UEM, сервисдеск и EPM, являются стратегически важными узлами в ИТ-инфраструктуре любой средней и крупной компании. Компрометация одной из них открывает путь к тотальному контролю над парком устройств, учетными записями сотрудников и критическими бизнес-процессами. Более того, эти уязвимости могут быть сцеплены друг с другом или с другими эксплойтами в рамках многоэтапной атаки, что увеличивает общий риск. Например, используя SSRF в Workspace ONE, можно разведать внутреннюю сеть, затем через уязвимость в SolarWinds получить выполнение кода на сервере, а с помощью утекших через Ivanti EPM учётных данных - распространить влияние на другие сегменты.
Что же делать ИТ- и ИБ-специалистам в свете этих предупреждений?
- Необходим немедленный аудит инфраструктуры на наличие затронутых версий продуктов: Omnissa Workspace ONE UEM консоли версий до исправлений, SolarWinds Web Help Desk версии 12.8.7 и ниже, а также Ivanti EPM версий ранее 2024 SU5.
- Требуется безотлагательно установить все предоставленные вендорами официальные обновления безопасности. Для SolarWinds Web Help Desk, учитывая историю с обходом патчей, рекомендуется не только обновление, но и, если возможно, дополнительная сегментация сети для ограничения доступа к интерфейсу управления извне.
- В случаях, где быстрое обновление невозможно, следует применять временные меры по снижению рисков, такие как ограничение сетевого доступа к административным интерфейсам по IP-адресам и усиленный мониторинг подозрительной активности, например, нехарактерных исходящих соединений с серверов (признак SSRF) или попыток неавторизованного доступа к API.
Наконец, данный инцидент служит ещё одним напоминанием о важности регулярного обновления программного обеспечения, особенно того, которое выполняет критичные функции управления. Пренебрежение своевременным патчингом, даже для уязвимостей, обнаруженных несколько лет назад, превращает корпоративную сеть в лёгкую мишень для как скрипт-кидди, так и для целевых атакующих групп.
Ссылки
- https://www.cisa.gov/news-events/alerts/2026/03/09/cisa-adds-three-known-exploited-vulnerabilities-catalog
- https://www.cve.org/CVERecord?id=CVE-2021-22054
- https://www.cve.org/CVERecord?id=CVE-2025-26399
- https://www.cve.org/CVERecord?id=CVE-2026-1603
