Агентство кибербезопасности и инфраструктурной безопасности США (CISA, Cybersecurity and Infrastructure Security Agency) пополнило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). В список вошли пять новых уязвимостей, по которым зафиксирована активная эксплуатация в реальных атаках. Этот каталог служит важным ориентиром для организаций, помогая определить приоритеты в устранении критических недостатков безопасности. Федеральные агентства США обязаны закрыть такие уязвимости в установленные сроки, а частный сектор настоятельно рекомендуется следовать этим же практикам.
Детали уязвимости
Первой в списке значится CVE-2018-14634 - уязвимость целочисленного переполнения (integer overflow) в ядре Linux. Она была обнаружена ещё в 2018 году, но, как показывает добавление в каталог KEV, до сих пор представляет угрозу. Ошибка содержится в функции create_elf_tables(). Непривилегированный локальный пользователь, имеющий доступ к SUID-бинарнику или другой привилегированной программе, может использовать этот недостаток для эскалации привилегий в системе. Эксперты считают уязвимыми ядра версий 2.6.x, 3.10.x и 4.14.x. Несмотря на свой возраст, уязвимость продолжает привлекать внимание злоумышленников, что подчёркивает важность поддержания актуальных версий системного ПО даже для давно обнаруженных проблем.
Следующие две критические уязвимости затрагивают почтовый сервер SmarterMail от компании SmarterTools. Уязвимость CVE-2025-52691, оценённая в 10.0 баллов по шкале CVSS 3.1, связана с неограниченной загрузкой файлов опасного типа (Unrestricted Upload of File with Dangerous Type). Неаутентифицированный злоумышленник может загрузить произвольные файлы в любое место на почтовом сервере, что потенциально ведёт к удалённому выполнению кода. Проблема затрагивает SmarterMail версий Build 9406 и более ранние.
Вторая уязвимость в SmarterMail, CVE-2026-23760, представляет собой обход аутентификации (Authentication Bypass) через API сброса пароля. В версиях, предшествующих Build 9511, конечная точка force-reset-password разрешает анонимные запросы и не проверяет существующий пароль или токен сброса при изменении учётных записей системных администраторов. В результате неаутентифицированный атакующий может сбросить пароль администратора, получив полный контроль над экземпляром SmarterMail. Важно отметить, что привилегии системного администратора в SmarterMail предоставляют возможность выполнять команды операционной системы через встроенные функции управления, что фактически даёт права администратора (SYSTEM или root) на базовом хосте. Оценка уязвимости по CVSS 4.0 составляет 9.3 балла.
Кроме того, в каталог добавлена уязвимость CVE-2026-21509, затрагивающая Microsoft Office. Это уязвимость обхода функции безопасности (Security Feature Bypass), вызванная зависимостью от ненадёжных входных данных при принятии решений в системе безопасности. Локальный атакующий может обойти защитный механизм. Проблема касается таких продуктов, как Microsoft Office 2019, Microsoft 365 Apps for Enterprise, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 и Microsoft Office 2016. Пользователям необходимо убедиться в установке последних обновлений безопасности от Microsoft.
Наконец, в список включена уязвимость CVE-2026-24061 в пакете GNU Inetutils, который включает в себя сервер telnetd. Уязвимость представляет собой внедрение аргументов (Argument Injection) и позволяет удалённо обойти аутентификацию, установив для переменной окружения USER значение "-f root". Это затрагивает версии GNU Inetutils с 1.9.3 по 2.7. Уязвимость получила высшую оценку 9.8 баллов по CVSS 3.1, подчёркивая критичность угрозы для систем, где используется этот устаревший, но всё ещё встречающийся протокол.
Добавление этих пяти уязвимостей в каталог KEV является прямым указанием на их активное использование в кибератаках. Эксперты по безопасности настоятельно рекомендуют администраторам в первую очередь проверить свои инфраструктуры на наличие перечисленных проблем. Для Linux-систем требуется обновление ядра, пользователям SmarterMail необходимо срочно обновиться до версии Build 9511 или новее. Владельцам продуктов Microsoft Office следует установить последние патчи, а системам с GNU Inetutils - либо обновить пакет, либо, что более предпочтительно с точки зрения безопасности, отказаться от использования небезопасного протокола Telnet в пользу SSH. Своевременное применение обновлений остаётся самым эффективным способом защиты от известных векторов атак.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2018-14634
- https://www.cve.org/CVERecord?id=CVE-2025-52691
- https://www.cve.org/CVERecord?id=CVE-2026-21509
- https://www.cve.org/CVERecord?id=CVE-2026-23760
- https://www.cve.org/CVERecord?id=CVE-2026-24061