Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало предупреждение об активной эксплуатации двух уязвимостей в Synacor Zimbra Collaboration Suite (ZCS) и Microsoft Office SharePoint. Параллельно стало известно, что злоумышленники, связанные с вымогательским ПО Interlock ransomware, используют критическую уязвимость в программном обеспечении управления межсетевыми экранами Cisco в режиме нулевого дня.
CISA: срочное обновление Zimbra и SharePoint из‑за активной эксплуатации
По данным CISA, уязвимости CVE-2025-66376 в Zimbra Collaboration Suite и CVE-2026-20963 в Microsoft Office SharePoint уже используются злоумышленниками в реальных атаках. Хотя публичных подробных отчетов об этих инцидентах пока нет, сам факт включения уязвимостей в перечень активно эксплуатируемых означает высокий уровень риска для организаций, использующих данные продукты.
Уязвимость в Zimbra Collaboration Suite (CVE-2025-66376)
Zimbra широко применяется государственными структурами, образовательными учреждениями и коммерческими организациями как платформа для корпоративной почты и совместной работы. Компрометация такого сервиса часто дает злоумышленнику точку входа в почтовую инфраструктуру, доступ к конфиденциальной переписке и учетным данным пользователей, что может привести к дальнейшему развитию атаки внутри сети.
CISA предписывает федеральным гражданским агентствам США (FCEB) установить обновления, устраняющие CVE-2025-66376, не позднее 1 апреля 2026 года. Для частного сектора аналогичные сроки носят рекомендательный характер, но с учетом активной эксплуатации откладывать установку патчей крайне рискованно.
Уязвимость в Microsoft Office SharePoint (CVE-2026-20963)
SharePoint традиционно используется как центральная платформа для хранения документов, внутренних порталов и автоматизации бизнес‑процессов. Атака на SharePoint нередко позволяет злоумышленникам получить доступ к критически важным данным и внутренним системам, в том числе к учетным записям с расширенными правами.
Для устранения CVE-2026-20963 CISA устанавливает более ранний срок для FCEB‑агентств — до 23 марта 2026 года. Это отражает повышенное внимание к SharePoint как к высокоценной цели, эксплуатируемой в сложных целевых атаках.
Interlock ransomware и нулевой день в Cisco: эксплуатация CVE-2026-20131
На фоне предупреждения CISA компания Amazon сообщила, что операторы вымогательского ПО Interlock по меньшей мере с 26 января 2026 года эксплуатируют уязвимость CVE-2026-20131 в программном обеспечении управления межсетевыми экранами Cisco. Уязвимость имеет максимальный балл по шкале CVSS — 10.0, что указывает на критическую степень опасности.
Особенно показательно, что эксплуатация началась более чем за месяц до публичного раскрытия уязвимости. Это делает CVE-2026-20131 уязвимостью нулевого дня (zero‑day), когда у разработчика и пользователей просто нет времени подготовиться до начала атак. По сути, атакующие в данном случае обладают значительным тактическим преимуществом.
По информации Amazon, Interlock традиционно нацеливается на отрасли, где операционный простой создает максимальное давление для выплаты выкупа: образование, инженерия, архитектура, строительство, производство, промышленность, здравоохранение и государственный сектор. Нарушение работы ИТ‑систем в этих сферах приводит к мгновенным финансовым и репутационным потерям, что повышает вероятность успешного вымогательства.
Тенденция: атаки на edge‑устройства как основная точка входа
Сценарий эксплуатации CVE-2026-20131 вписывается в устойчивый тренд последних лет: злоумышленники систематически атакуют пограничные сетевые устройства (edge‑устройства) — межсетевые экраны, VPN‑шлюзы, системы удаленного доступа и управления. В числе наиболее часто атакуемых вендоров фигурируют Cisco, Fortinet, Ivanti и другие производители сетевой инфраструктуры.
Причины очевидны. Во‑первых, такие устройства обычно имеют прямой выход в интернет, что упрощает сканирование и автоматизированный подбор целей. Во‑вторых, взлом edge‑устройства часто дает злоумышленнику привилегированный доступ в локальную сеть, минуя многие традиционные средства защиты — антивирусы, EDR и прочие агенты, установленные на рабочих станциях и серверах.
Тот факт, что CVE-2026-20131 была использована как нулевой день, показывает, что преступные группировки инвестируют время и ресурсы в поиск ранее неизвестных уязвимостей. Это сближает их подход с методами, которые многие годы ассоциировались преимущественно с государственными APT‑группами.
Практические рекомендации по снижению рисков
На фоне обсуждаемых инцидентов организациям стоит пересмотреть свои подходы к защите почтовой инфраструктуры, платформ совместной работы и сетевых периметров. Среди первоочередных мер можно выделить:
1. Жесткое управление обновлениями. Регулярно отслеживать бюллетени безопасности CISA, вендоров (Synacor, Microsoft, Cisco и др.) и как можно быстрее устанавливать критические патчи, особенно для систем с выходом в интернет.
2. Инвентаризация и сокращение «поверхности атаки». Определить все экземпляры Zimbra, SharePoint и сетевых устройств, доступных извне, ограничить ненужные сервисы, применить сегментацию сети и принцип наименьших привилегий.
3. Усиленный мониторинг edge‑устройств. Включить журналы событий межсетевых экранов, VPN и почтовых шлюзов в систему центрального логирования и SIEM, настроить оповещения по признакам аномальной активности и попыткам эксплуатации известных уязвимостей.
4. Многофакторная аутентификация и защита учетных записей. Даже при успешной эксплуатации уязвимости злоумышленнику будет сложнее закрепиться в системе, если критические учетные записи защищены MFA и регулярно проходят аудит.
Современные атаки на Zimbra, SharePoint и сетевые устройства Cisco демонстрируют: игнорирование обновлений безопасности и недооценка пограничных систем сегодня напрямую конвертируются в масштабные инциденты. Организациям всех размеров имеет смысл усилить процессы управления уязвимостями, уделяя особое внимание сервисам с выходом в интернет, и выстраивать защиту, исходя из предположения, что попытки эксплуатации — не вопрос «если», а вопрос «когда».
