Наш почтовый ящик вновь зазвонил, и там, как обычно, очередное вторничное пополнение от CISA в каталоге Known Exploited Vulnerabilities (KEV). Это не просто очередной список; это цифровая сирена, мигающий красный свет для всех системных администраторов. На этот раз под прицелом оказались ConnectWise ScreenConnect и, что удивительно, назойливая дыра в Microsoft Windows. Если вы используете что-то из этого, вам стоит прислушаться.
Речь идет о CVE-2024-1708 для ConnectWise ScreenConnect (вкусные 8.4 балла по шкале CVSS) – уязвимости типа path traversal. Представьте это как тайный ход в цифровом замке. Злоумышленник, не имея никаких особых прав, может запросто миновать проверки безопасности, что потенциально ведет к удаленному выполнению кода. Это означает, что он может выполнять команды на вашей системе, красть ваши самые ценные данные или просто нарушать работу критически важной инфраструктуры. ConnectWise выпустила исправление ещё в феврале, но внесение в KEV подразумевает, что эта конкретная дверь действительно была приоткрыта и использована.
Затем у нас CVE-2026-32202 в Microsoft Windows Shell с 4.3 баллами по CVSS. Казалось бы, 4.3 – это немного, но не дайте цифре вас обмануть. Это «сбой механизма защиты» – другими словами, охранник уснул на посту, позволив неавторизованному злоумышленнику выдать себя за кого-то другого в сети. Самое интересное? Эта уязвимость была исправлена в апреле 2026 года… что, мягко говоря, интригующая временная аномалия. Скорее всего, это опечатка, и речь идет об исправлении 2024 или 2025 года, но факт остается фактом: она активна и эксплуатируется.
Эта уязвимость Windows особенно неприятна, поскольку она является следствием неполного исправления предыдущей проблемы, CVE-2026-21510. Это не первый раз, когда мы видим подобный сценарий: спешное исправление, настойчивый противник, а затем эксплуатация «zero-day» наряду с другими. Akamai указывает на атаку на цепочку поставок, возможно, связанную с печально известной российской группировкой APT28, нацеленную на Украину и страны ЕС с конца 2025 года. Это не игра в шпионские игры на уровне государств; это попытка повлиять на геополитическую стабильность, взламывая один сервер за другим.
Что по-настоящему тревожит, так это то, что это не единичные случаи. Уязвимость ConnectWise, CVE-2024-1708, часто используется в связке с другой критической ошибкой – CVE-2024-1709 (ужасающие 10.0 баллов CVSS за обход аутентификации). Различные группы злоумышленников годами комбинируют эти уязвимости. Только в этом месяце сама Microsoft связала определенный кластер этих атак с группировкой из Китая под названием Storm-1175, которая развёртывала программы-вымогатели Medusa. Программы-вымогатели. Это конечная цель многих подобных вторжений – не просто нарушение работы, а прямая вымогательство.
Почему это важно, помимо простого исправления
Каталог KEV от CISA – это не просто список рекомендаций; это обязательство для федеральных гражданских исполнительных органов власти. У них есть время до 12 мая 2026 года, чтобы всё исправить. Но это выходит далеко за рамки государственных сетей. ConnectWise ScreenConnect – широко используемый инструмент удаленного доступа. В случае его компрометации злоумышленники получают прямой доступ к системам потенциально тысяч компаний, MSP и их клиентов. Последствия для безопасности цепочек поставок огромны. Мы видели это раньше: одно слабое звено, один взломанный RMM-инструмент, и целые экосистемы оказываются под ударом.
Дело не в том, что какой-то конкретный продукт изначально небезопасен. Дело в фундаментальном архитектурном сдвиге в организации атак. Злоумышленники не просто ищут одну уязвимость; они строят цепочки атак. Они ищут самый лёгкий путь через сложную цифровую среду, и часто этот путь лежит через те инструменты, на которые мы полагаемся в повседневной работе. Список KEV всё меньше говорит о том, была ли уязвимость использована, и всё больше о том, когда она станет следующим шагом в более масштабной и изощрённой операции.
CISA добавила CVE-2024-1709 в каталог KEV 22 февраля 2024 года. Федеральные гражданские исполнительные органы власти (FCEB) обязаны применить необходимые исправления к 12 мая 2026 года для защиты своих сетей.
Приближающийся срок в 2026 году для федеральных агентств – суровое напоминание о том, что, хотя исправления выпускаются, их применение не всегда происходит немедленно или повсеместно. А в текущем ландшафте угроз задержка даже в несколько дней может быть катастрофической, не говоря уже о месяцах или годах. Архитектурный урок здесь ясен: нельзя просто установить патч и забыть. Нам нужен непрерывный мониторинг, охота за угрозами и проактивный подход к пониманию того, как эти отдельные ошибки складываются в опасное целое.
🧬 Связанные материалы
- Читать далее: Хакеры отказываются от кодовых слов в пользу эмодзи, чтобы обойти фильтры
- Читать далее: Бэкдоры ShareFile, руткиты для Android и предупреждения ФБР: Внутри бюллетеня угроз этой недели
Часто задаваемые вопросы
Что такое каталог KEV? Каталог KEV содержит список уязвимостей, подтвержденных как активно эксплуатируемые злоумышленниками. Его цель — приоритизировать исправление для этих известных угроз.
Затронут ли меня эти уязвимости? Если вы используете ConnectWise ScreenConnect или Microsoft Windows и не установили последние обновления, вы подвергаетесь риску. У федеральных агентств есть срок, но всем организациям следует немедленно заняться этими исправлениями.
Является ли это уязвимостью типа «zero-day»? Хотя сама CVE-2024-1708 может не быть «zero-day», её наличие в списке KEV означает, что она эксплуатируется. CVE-2026-32202 связана с эксплуатацией после неполного исправления предыдущей уязвимости, что указывает на сложную цепочку атак. Термин «zero-day» обычно относится к уязвимостям, неизвестным поставщику; список KEV сигнализирует об уязвимостях, которые, как известно, эксплуатируются в дикой природе.
