Угрозы реальны: CISA обновляет каталог активно используемых уязвимостей, добавляя восемь критических проблем

Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) в очередной раз подтвердило, что злоумышленники целенаправленно атакуют известные уязвимости в популярном корпоративном программном обеспечении. В свой Каталог активно используемых уязвимостей (Known Exploited Vulnerabilities) ведомство внесло восемь новых записей. Этот каталог является важнейшим ориентиром для специалистов по информационной безопасности, так как содержит перечень уязвимостей, эксплуатация которых уже зафиксирована в реальных атаках. Игнорирование таких предупреждений может привести к серьезным инцидентам, включая полный компрометацию систем, утечки данных и остановку бизнес-процессов. Среди новых добавлений - проблемы в системах управления печатью, серверах непрерывной интеграции, платформах для управления ИТ-инфраструктурой и корпоративной почте, что затрагивает широкий спектр организаций.

Детали уязвимостей

Первой в списке значится уже известная, но по-прежнему опасная уязвимость CVE-2023-27351 в программном обеспечении для управления печатью PaperCut NG/MF. Она позволяет удаленному злоумышленнику полностью обойти процедуру аутентификации. Недостаток кроется в классе "SecurityRequestFilter", где реализация алгоритма проверки подлинности выполнена некорректно. Важно отметить, что для эксплуатации этой уязвимости атакующему не требуются какие-либо учетные данные. Это классический пример ошибки, дающей прямой доступ к административным функциям системы. Учитывая, что PaperCut широко используется в корпоративных сетях и образовательных учреждениях, данная уязвимость долгое время была излюбленным инструментом различных группировок, в том числе распространяющих программы-вымогатели.

Следующая проблема, CVE-2024-27199, затрагивает сервер непрерывной интеграции и доставки JetBrains TeamCity. Речь идет об уязвимости типа "Traversal of directory paths" (обход ограничений пути к каталогу), которая потенциально позволяет выполнять ограниченные административные действия. TeamCity является критически важным компонентом DevOps-цепочки многих компаний, и получение контроля над ним открывает злоумышленникам путь к внедрению вредоносного кода непосредственно в процессы сборки и развертывания приложений. Это может привести к масштабным supply-chain атакам (атакам на цепочку поставок), когда скомпрометированный легитимный продукт становится вектором для заражения всех его пользователей.

Уязвимость в системе управления контентом Kentico Xperience, обозначенная как CVE-2025-2749, также связана с обходом пути. Однако ее опасность усиливается за счет возможности аутентифицированным пользователям загружать произвольные файлы, что в итоге приводит к выполнению удаленного кода (RCE, Remote Code Execution). Такая комбинация - обход пути и неограниченная загрузка файлов - является мощным инструментом для закрепления в системе. Атакующий, получивший даже ограниченные начальные права, может эскалировать привилегии и получить полный контроль над веб-сервером и базой данных.

Отдельного внимания заслуживает группа из трех уязвимостей в Cisco Catalyst SD-WAN Manager - ключевом компоненте для управления программно-определяемыми глобальными сетями. Проблемы под идентификаторами CVE-2026-20122, CVE-2026-20128 и CVE-2026-20133 представляют собой комплекс угроз. Первая связана с некорректным использованием привилегированных интерфейсов программирования (API), что позволяет аутентифицированному пользователю с правами только на чтение перезаписывать произвольные файлы и повышать свои привилегии. Вторая уязвимость заключается в хранении паролей в восстанавливаемом формате, что делает возможным их хищение и получение доступа к системе. Третья проблема позволяет неаутентифицированному удаленному злоумышленнику получать доступ к конфиденциальной информации из-за недостаточных ограничений файловой системы. Совместная эксплуатация этих уязвимостей дает злоумышленнику возможность полностью скомпрометировать систему управления SD-WAN, что может парализовать работу распределенной сети предприятия, включая доступ к облачным сервисам и центральному офису.

Еще две добавленные уязвимости демонстрируют разнообразие векторов атаки. CVE-2025-32975 в системе управления ИТ-активами Quest KACE SMA - это классический обход аутентификации, позволяющий злоумышленникам выдавать себя за легитимных пользователей без каких-либо учетных данных, что в итоге может привести к полному захвату административного контроля. Уязвимость CVE-2025-48700 в почтовом решении Zimbra Collaboration Suite - это межсайтовый скриптинг (XSS, Cross-Site Scripting) в классическом веб-интерфейсе. Хотя такая атака обычно требует взаимодействия с пользователем, в данном случае для ее запуска достаточно, чтобы жертва просмотрела специально сформированное электронное письмо. Это может привести к хищению сессионных cookies и, как следствие, к несанкционированному доступу к корпоративной почте и контактам.

Факт добавления этих уязвимостей в каталог KEV означает, что CISA располагает достоверными свидетельствами их активного использования в дикой природе. Для федеральных агентств США устранение таких рисков в установленные сроки является обязательным. Однако это сигнал и для всего частного сектора по всему миру. Основной вывод для специалистов по безопасности однозначен: наличие исправлений (патчей) для перечисленного программного обеспечения не является гарантией защиты. Критически важно обеспечить их своевременное тестирование и установку. В случае с устаревшими уязвимостями, такими как CVE-2023-27351, необходимо убедиться, что все исторические обновления безопасности были применены. Для продуктов, где патчи еще не выпущены (например, для некоторых новых уязвимостей Cisco), следует оценить риски и рассмотреть возможность применения временных обходных путей, рекомендованных вендорами, таких как ограничение доступа к уязвимым интерфейсам с помощью межсетевых экранов или сегментация сети. Игнорирование этого предупреждения равносильно осознанному принятию на себя риска масштабного киберинцидента.

Детали уязвимостей

Ссылки