Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) внесло в каталог Known Exploited Vulnerabilities (KEV) ещё восемь уязвимостей, по которым зафиксирована реальная эксплуатация злоумышленниками. Особое внимание привлекают три уязвимости в Cisco Catalyst SD-WAN Manager, затрагивающие сети крупных организаций и провайдеров.
Что такое каталог CISA KEV и почему его обновления критичны
Каталог KEV — это публичный перечень уязвимостей, по которым подтверждены атаки «в дикой природе». Попадание в этот список означает, что речь идёт не о теоретическом риске, а о фактически эксплуатируемой проблеме безопасности, и её устранение должно стать приоритетом номер один.
В новое обновление KEV вошли восемь уязвимостей, включая:
- три уязвимости в Cisco Catalyst SD-WAN Manager (CVE-2026-20122, CVE-2026-20128, CVE-2026-20133);
- уязвимость в JetBrains TeamCity для on-premise-развёртываний, в дополнение к ранее добавленной CVE-2024-27198;
- CVE-2023-27351 в популярном корпоративном продукте печати, эксплуатируемая группировкой Lace Tempest;
- CVE-2025-32975 в решениях удалённого доступа SMA, нацеленных на корпоративные сети.
Критические уязвимости в Cisco Catalyst SD-WAN Manager
Cisco Catalyst SD-WAN Manager — централизованная платформа управления SD-WAN-инфраструктурой, от которой зависят связность филиалов, производственных площадок и облачных ресурсов. Компрометация такого узла может привести к перехвату трафика, изменению маршрутизации и дальнейшему продвижению злоумышленника по сети.
Cisco сообщила, что в марте 2026 года стало известно об эксплуатации CVE-2026-20122 и CVE-2026-20128. При этом производитель пока не обновил своё консультативное уведомление с учётом факта эксплуатации CVE-2026-20133, хотя эта уязвимость уже включена в KEV.
На фоне активных атак федеральным гражданским ведомствам США (FCEB-агентствам) предписано устранить три уязвимости Cisco не позднее 23 апреля 2026 года. Для коммерческого сектора это не формальное требование, но чёткий индикатор приоритета: все организации, использующие Cisco SD-WAN, должны оперативно инвентаризовать свои узлы и установить исправления.
Уязвимости в JetBrains TeamCity и риск цепочек поставок
Среди новых записей KEV фигурирует ещё одна уязвимость в JetBrains TeamCity для локальных установок. Ранее, в марте 2024 года, в каталог уже была добавлена критическая CVE-2024-27198. На текущий момент неизвестно, используются ли обе уязвимости совместно в рамках одних и тех же кампаний и принадлежат ли атаки одному и тому же злоумышленнику.
Компрометация серверов CI/CD, таких как TeamCity, особенно опасна, поскольку даёт атакующим доступ к исходному коду, сборочным конвейерам и артефактам. Это открывает путь к атакам на цепочку поставок: внедрению вредоносного кода в программные продукты и дальнейшему распространению через обновления клиентам.
CVE-2023-27351: Lace Tempest, Cl0p и LockBit
Уязвимость CVE-2023-27351, теперь также внесённая в KEV, была ранее приписана активности группировки Lace Tempest. По данным исследователей, злоумышленники использовали её в рамках атак с доставкой вымогательских программ Cl0p и LockBit.
Этот пример демонстрирует характерный сценарий: уязвимость в массово используемом корпоративном продукте становится входной точкой для масштабных кампаний программ-вымогателей. Как только подобные уязвимости попадают в публичные эксплойт-фреймворки, риск для организаций без своевременных обновлений резко возрастает.
CVE-2025-32975: атаки на шлюзы удалённого доступа SMA
Уязвимость CVE-2025-32975 затрагивает устройства SMA (Secure Mobile Access), широко применяемые для организации безопасного удалённого доступа сотрудников и подрядчиков. По сообщениям компании Arctic Wolf, неизвестные злоумышленники активно «вооружили» этот баг и на протяжении прошлого месяца атаковали не обновлённые SMA-системы. Конечные цели кампании пока не установлены.
Инфраструктура VPN и удалённого доступа традиционно является высокоприоритетной целью для атакующих: компрометация подобных шлюзов позволяет обойти периметровую защиту и получить прямой доступ к внутренним сетевым ресурсам.
Практические рекомендации для организаций
Включение уязвимости в CISA KEV — это сигнал к немедленным действиям. Федеральным FCEB-агентствам предписано закрыть три уязвимости Cisco к 23 апреля 2026 года, остальные — к 4 мая 2026 года. Частному сектору, государственным организациям вне США и критической инфраструктуре целесообразно ориентироваться на те же сроки или действовать ещё быстрее.
Для минимизации рисков целесообразно:
- Провести инвентаризацию систем Cisco SD-WAN, JetBrains TeamCity, решений печати и шлюзов SMA, выявив все экземпляры уязвимых версий.
- Немедленно установить патчи и обновления прошивок, опубликованные производителями, либо применить временные меры обходной защиты (virtual patching, ограничение доступа по сети).
- Усилить мониторинг логов и сетевого трафика вокруг указанных систем для выявления признаков компрометации и аномальной активности.
- Пересмотреть сегментацию сети, чтобы ограничить последствия возможного взлома SD-WAN- или VPN-шлюза.
- Отслеживать обновления KEV и использовать каталог CISA как основу для приоритизации патч-менеджмента.
Расширение каталога CISA KEV наглядно показывает, что атакующие фокусируются на сетевой инфраструктуре, системах удалённого доступа и инструментах DevOps. Организациям важно не только своевременно устанавливать обновления, но и выстраивать зрелый процесс управления уязвимостями, включающий постоянный мониторинг KEV, оценку влияния для своих активов и регулярную проверку готовности к инцидентам. Сейчас подходящее время, чтобы пересмотреть собственный перечень критических систем, ускорить устранение известных эксплуатируемых уязвимостей и укрепить киберустойчивость бизнеса.
