CISA добавляет пять активно эксплуатируемых уязвимостей в каталог KEV

CISA расширяет каталог KEV пятью активно эксплуатируемыми уязвимостями

Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило пять новых уязвимостей в свой Каталог известных эксплуатируемых уязвимостей (KEV), ссылаясь на доказательства их активной эксплуатации. Обновление, выпущенное 26 января 2026 года, обязывает федеральные гражданские агентства устранить эти уязвимости до 16 февраля 2026 года в соответствии с Обязательной оперативной директивой (BOD) 22-01.

Технические детали добавленных CVE

В обновлённый список вошли следующие уязвимости:

1. CVE-2024-21887 (Ivanti Connect Secure и Policy Secure)

   • Тип: Уязвимость внедрения команд (command injection)
   • Уровень опасности: Критический (CVSS 9.1)
   • Воздействие: Позволяет неаутентифицированным злоумышленникам выполнять произвольные команды на уязвимых системах через специально сформированные запросы.

2. CVE-2023-46805 (Ivanti Connect Secure и Policy Secure)

   • Тип: Обход аутентификации (authentication bypass)
   • Уровень опасности: Высокий (CVSS 8.2)
   • Воздействие: Даёт возможность злоумышленникам обходить механизмы аутентификации и получать несанкционированный доступ к защищённым ресурсам.

3. CVE-2023-22527 (Atlassian Confluence Data Center и Server)

   • Тип: Удаленное выполнение кода (RCE)
   • Уровень опасности: Критический (CVSS 10.0)
   • Воздействие: Эксплуатирует уязвимость внедрения шаблонов, позволяя неаутентифицированным злоумышленникам выполнять произвольный код на уязвимых экземплярах Confluence.

4. CVE-2024-0204 (Fortra GoAnywhere MFT)

   • Тип: Обход аутентификации (authentication bypass)
   • Уровень опасности: Критический (CVSS 9.8)
   • Воздействие: Позволяет злоумышленникам создавать учётные записи администраторов и получать полный контроль над уязвимыми системами.

5. CVE-2023-27532 (Apache Superset)

   • Тип: Небезопасная конфигурация по умолчанию (insecure default configuration)
   • Уровень опасности: Высокий (CVSS 8.9)
   • Воздействие: Позволяет неавторизованным злоумышленникам проходить аутентификацию и получать доступ к конфиденциальным данным из-за использования стандартного SECRET_KEY в установках Superset.

Анализ воздействия

Эти уязвимости представляют значительные риски для организаций, особенно использующих продукты Ivanti, Atlassian Confluence, Fortra GoAnywhere или Apache Superset. Зафиксированы случаи активной эксплуатации, когда злоумышленники используют данные уязвимости для:

• Получения несанкционированного доступа к корпоративным сетям;
• Развёртывания программ-вымогателей или другого вредоносного ПО;
• Эксфильтрации конфиденциальных данных;
• Установления постоянного присутствия для проведения дальнейших атак.

Федеральные агентства обязаны устранить эти уязвимости до 16 февраля, однако CISA настоятельно рекомендует всем организациям — как государственным, так и частным — уделить первоочередное внимание их устранению для предотвращения возможных инцидентов.

Рекомендации для служб безопасности

1. Немедленное устранение уязвимостей: Примените исправления или меры по смягчению, предоставленные вендорами, без задержек.
2. Сегментация сети: Изолируйте уязвимые системы, чтобы ограничить возможность горизонтального перемещения в случае эксплуатации.
3. Мониторинг и обнаружение: Разверните системы обнаружения и предотвращения вторжений (IDS/IPS) для выявления попыток эксплуатации.
4. Обучение сотрудников: Обучите персонал распознавать фишинговые и социально-инженерные атаки, которые могут предшествовать эксплуатации уязвимостей.
5. Проверка каталога KEV: Регулярно проверяйте обновления в каталоге KEV от CISA и устраняйте перечисленные уязвимости в приоритетном порядке.

Более подробную информацию можно найти в официальном бюллетене CISA.