CISA включила четыре уязвимости в каталог активно эксплуатируемых - под угрозой устройства SonicWall и продукты Microsoft

Cybersecurity and Infrastructure Security Agency, CISA

Агентство по кибербезопасности и защите инфраструктуры США (CISA) 14 июля 2026 года добавило четыре новые уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV). Все четыре записи внесены на основании подтверждённых фактов активного использования в реальных атаках. В список вошли две проблемы в устройствах SonicWall SMA1000 и две ошибки в продуктах Microsoft - в службах федерации Active Directory (AD FS) и в SharePoint Server.

Детали уязвиостей

Уязвимости в устройствах SonicWall затрагивают модели SMA1000 под управлением Linux. Первая из них, CVE-2026-15409, представляет собой подделку запроса на стороне сервера (SSRF). Она присутствует в интерфейсе Work Place и позволяет удалённому неаутентифицированному злоумышленнику заставить устройство отправлять запросы в произвольные внешние адреса. Вторая проблема, CVE-2026-15410, - это внедрение кода (code injection) в панели управления AMC (Appliance Management Console). Для её эксплуатации требуется аутентификация с правами администратора, но при определённых условиях атакующий может выполнить произвольные команды операционной системы. Обе уязвимости присутствуют в версиях прошивок от 12.4.3-03245 до 12.4.3-03434 и от 12.5.0-02283 до 12.5.0-02800.

Проблемы Microsoft затронули более широкий круг систем. Уязвимость CVE-2026-56155 связана с недостаточной детализацией контроля доступа в Active Directory Federation Services (AD FS). Она позволяет авторизованному злоумышленнику повысить привилегии локально. По шкале CVSS v3.1 ей присвоен высокий уровень опасности (7,8 балла). Вектор атаки - локальный, для эксплуатации требуется предварительная аутентификация, но после её успешного проведения нарушитель может получить полный контроль над системой (высокая степень влияния на конфиденциальность, целостность и доступность). Под ударом оказались все поддерживаемые версии Windows Server, начиная с Windows Server 2012 и заканчивая Windows Server 2025, а также соответствующие редакции для Server Core. В число затронутых клиентских ОС вошли Windows 10 версий 1607 и 1809.

Вторая уязвимость Microsoft - CVE-2026-56164 - затрагивает сервер SharePoint. Она квалифицирована как отсутствие аутентификации для критической функции (CWE-306). Неавторизованный удалённый злоумышленник может повысить свои привилегии в сети. Речь идёт о средней степени опасности (5,3 балла CVSS), однако фактор наличия активных эксплуатаций в дикой природе, по данным CISA, делает её приоритетной для закрытия. Уязвимость присутствует в Microsoft SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Для каждой версии указан фиксированный диапазон уязвимых сборок - до версии 16.0.5561.1001, 16.0.10417.20175 и 16.0.19725.20434 соответственно.

Включение уязвимостей в каталог KEV означает, что CISA считает их активно используемыми злоумышленниками. Для федеральных гражданских ведомств США это автоматически влечёт требование установить патчи или принять компенсирующие меры до 4 августа 2026 года. Однако и для всех остальных организаций, особенно корпоративных клиентов Microsoft и пользователей устройств SonicWall, промедление с обновлением создаёт прямые риски компрометации.

Патчи для уязвимостей Microsoft уже выпущены в рамках июльского цикла обновлений. Компания рекомендует как можно скорее установить кумулятивные обновления для затронутых версий Windows Server и SharePoint. Для SonicWall необходима установка актуальных версий прошивок - компания ранее выпустила исправления для затронутых веток 12.4.3 и 12.5.0. Администраторам устройств SMA1000 следует проверить версию установленного программного обеспечения и обновить его до последних доступных сборок.

Примечательно, что обе уязвимости SonicWall эксплуатируются в связке: SSRF может использоваться для первичного проникновения, а внедрение кода - для закрепления в системе с максимальными правами. Что касается Active Directory Federation Services, повышение привилегий локально может стать этапом бокового перемещения в корпоративной сети, если атакующий уже получил начальный доступ. Уязвимость SharePoint привлекает внимание тем, что не требует аутентификации для эксплуатации, что упрощает её использование в массовых сканирующих атаках.

Тенденция к включению в KEV уязвимостей из разных категорий - от межсетевых экранов до серверов федерации - подтверждает сохранение высокого интереса злоумышленников к продуктам Microsoft и сетевым шлюзам. Организациям, использующим любое из затронутых решений, следует в первую очередь установить обновления, не дожидаясь индикаторов компрометации.

Ссылки

Комментарии: 0