Агентство з кібербезпеки та безпеки інфраструктури США (CISA) розширило свій каталог Known Exploited Vulnerabilities (KEV), додавши до нього ще вісім вразливостей, які вже активно використовуються зловмисниками. Найбільшу увагу привертають три критичні проблеми в Cisco Catalyst SD-WAN Manager, що безпосередньо впливають на мережі великих підприємств і провайдерів.
Каталог CISA KEV: чому «відомі експлуатовані вразливості» є пріоритетом
CISA KEV — це не просто список CVE-ідентифікаторів. До каталогу потрапляють лише ті вразливості, щодо яких підтверджена реальна експлуатація у бойових атаках. Для команд безпеки KEV фактично є «червоною лінією»: якщо проблема внесена до цього переліку, її закриття повинно стати одним із найперших завдань у процесі управління вразливостями.
У нове оновлення KEV включено вісім вразливостей, серед яких:
- три вразливості в Cisco Catalyst SD-WAN Manager — CVE-2026-20122, CVE-2026-20128, CVE-2026-20133;
- додаткова вразливість в JetBrains TeamCity для on-premise-інсталяцій (на додачу до вже відомої CVE-2024-27198);
- CVE-2023-27351 в популярному корпоративному рішенні для друку, пов’язана з активністю угруповання Lace Tempest та кампаніями Cl0p і LockBit;
- CVE-2025-32975 у шлюзах віддаленого доступу SMA (Secure Mobile Access), націлена на корпоративні VPN-інфраструктури.
Критичні вразливості в Cisco Catalyst SD-WAN Manager
Cisco Catalyst SD-WAN Manager — це центральна платформа керування SD-WAN, через яку адмініструється зв’язність філій, дата-центрів і хмарних ресурсів. Компрометація такого компонента дає зловмиснику можливість змінювати маршрутизацію, перехоплювати трафік, розгортати подальші атаки в корпоративній мережі та обходити традиційні засоби захисту.
За даними Cisco, експлуатація вразливостей CVE-2026-20122 та CVE-2026-20128 фіксується ще з березня 2026 року. Третя вразливість, CVE-2026-20133, вже внесена до KEV, хоча в публічних рекомендаціях виробника факт її активної експлуатації поки що не відображено. Це типовий приклад ситуації, коли рівень ризику змінюється швидше, ніж офіційні документи вендора.
Федеральним цивільним відомствам США (FCEB-агентствам) CISA встановила жорсткий дедлайн: усі три вразливості Cisco SD-WAN мають бути усунені не пізніше 23 квітня 2026 року. Для приватного сектору це не є формальною вимогою, однак такі строки фактично задають орієнтир і для комерційних, і для міжнародних організацій.
JetBrains TeamCity: атаки на CI/CD та ланцюги постачання ПЗ
Окрема група ризику — сервери JetBrains TeamCity, які широко використовуються як CI/CD-платформа. У KEV вже була додана критична CVE-2024-27198, тепер до неї приєдналася ще одна вразливість для локальних розгортань TeamCity. Хоча наразі невідомо, чи комбінуються ці баги в єдиних кампаніях, сам факт появи кількох експлуатованих CVE в одному продукті має бути серйозним тригером для термінового оновлення.
Компрометація CI/CD-систем відкриває шлях до атак на ланцюг постачання програмного забезпечення: зловмисники можуть змінювати вихідний код, модифікувати збірки, вбудовувати «бекдори» в оновлення, які пізніше встановлять клієнти. Подібні сценарії вже неодноразово призводили до масштабних інцидентів, що впливали на тисячі організацій у всьому світі.
CVE-2023-27351 та CVE-2025-32975: програми-вимагачі й атаки на віддалений доступ
Вразливість CVE-2023-27351 у популярному корпоративному продукті для друку пов’язують з діяльністю угруповання Lace Tempest. За повідомленнями дослідників, ця група використовувала вразливість як початкову точку проникнення в мережу, після чого розгортала програми-вимагачі Cl0p і LockBit. Такий ланцюжок — від масового продукту до масштабної кампанії шифрування даних — є типовим для сучасних операцій зловмисників, орієнтованих на вимагання.
Ще одна критична позиція в оновленні KEV — CVE-2025-32975 у пристроях SMA Secure Mobile Access. За даними компанії Arctic Wolf, ця вразливість активно експлуатується протягом останніх тижнів для атак на неоновлені шлюзи віддаленого доступу. VPN-інфраструктура традиційно є однією з найпривабливіших цілей: компрометація шлюзу дозволяє обійти периметровий захист і отримати майже безперешкодний доступ до внутрішніх ресурсів.
Строки CISA та рекомендації щодо пріоритизації патчів
Окрім терміну 23 квітня 2026 року для виправлення вразливостей Cisco SD-WAN, CISA визначила кінцеву дату 4 травня 2026 року для усунення решти новододаних у KEV вразливостей у федеральних агенціях. Для всіх інших організацій, включно з критичною інфраструктурою за межами США, доцільно орієнтуватися на ті самі або навіть більш стислі строки.
Практичні кроки для організацій: як знизити ризики від експлуатованих вразливостей
Включення вразливості до CISA KEV слід сприймати як сигнал до негайних дій. Щоб мінімізувати потенційні наслідки, варто реалізувати такі кроки:
- Повна інвентаризація систем: виявити всі екземпляри Cisco Catalyst SD-WAN Manager, JetBrains TeamCity, рішень для друку та шлюзів SMA, визначити версії ПЗ і статус оновлень.
- Швидке встановлення патчів: застосувати офіційні оновлення та нові прошивки; якщо це тимчасово неможливо — використати компенсувальні заходи (обмеження мережевого доступу, VPN-доступ лише з довірених сегментів, virtual patching на рівні WAF/NIPS).
- Поглиблений моніторинг: посилити збір і аналіз логів у зоні систем SD-WAN, CI/CD, VPN і друкарських серверів; налаштувати правила виявлення підозрілих сесій, аномальної маршрутизації, нетипових збірок ПЗ.
- Сегментація мережі: мінімізувати «довіру за замовчуванням» до адміністративних вузлів, ізолювати VPN-шлюзи та SD-WAN-контролери від критичних бізнес-систем, застосовувати принцип least privilege.
- Постійний моніторинг KEV: інтегрувати каталог CISA KEV у процеси vulnerability management і patch management, автоматизувати зіставлення активів організації з новими записами в KEV.
Розширення каталогу CISA KEV демонструє стійкий тренд: атакувальники системно б’ють по мережевій інфраструктурі, засобах віддаленого доступу та інструментах DevOps. Організаціям недостатньо просто «ставити патчі» — критично важливо вибудувати зрілий процес управління вразливостями, який враховує дані KEV, реальну експлуатацію CVE та вплив на власні активи. Чим раніше будуть інвентаризовані критичні системи, закриті відомі експлуатовані вразливості й налагоджений безперервний моніторинг, тим вищою буде кіберастійкість бізнесу перед наступними хвилями атак.
