Агентство по кибербезопасности и защите инфраструктуры США (CISA) во вторник обновило свой каталог известных эксплуатируемых уязвимостей (KEV), добавив в него четыре новые записи. Основанием для этого решения послужили неопровержимые доказательства активной эксплуатации данных брешей в реальных условиях. Включение этих уязвимостей в список служит официальным предупреждением об их опасности и распространенности.
Первая уязвимость, получившая идентификатор CVE-2026-2441, обнаружена в браузере Google Chrome. Проблема классифицируется как use-after-free (использование освобожденной памяти), что может привести к повреждению кучи (heap corruption) через специально созданную HTML-страницу. Корпорация Google подтвердила наличие эксплойта в дикой природе, однако технические детали механизма атаки намеренно не разглашаются для защиты пользователей, которые еще не установили обновления безопасности.
Вторая угроза связана с программным обеспечением TeamT5 ThreatSonar Anti-Ransomware. Уязвимость CVE-2024-7694, получившая оценку CVSS 7.2, затрагивает версии продукта 3.4.5 и более ранние. Она заключается в возможности произвольной загрузки файлов, что позволяет злоумышленникам размещать вредоносные объекты на сервере и выполнять произвольные системные команды. Несмотря на подтвержденную активность, точный сценарий текущей эксплуатации пока остается неясным.
Третья уязвимость, CVE-2020-7796, найдена в Synacor Zimbra Collaboration Suite (ZCS) и имеет критический рейтинг CVSS 9.8. Это ошибка типа Server-Side Request Forgery (SSRF) — подделка запросов на стороне сервера. Используя этот вектор, хакеры могут отправлять специально сформированные HTTP-запросы к удаленному хосту, получая несанкционированный доступ к чувствительной информации внутри целевой инфраструктуры.
Согласно отчету компании GreyNoise, занимающейся аналитикой угроз, от марта 2025 года, эксплуатация уязвимости в Zimbra ведется группировкой, использующей кластер из примерно 400 IP-адресов. География атак охватывает множество стран, включая США, Германию, Сингапур, Индию, Литву и Японию, что подтверждает глобальный масштаб кампании.
Четвертая запись в обновлении CISA касается устаревшей, но вновь актуальной уязвимости CVE-2008-0015 в Microsoft Windows Video ActiveX Control. С оценкой CVSS 8.8 эта проблема представляет собой переполнение буфера в стеке, позволяющее удаленное выполнение кода через вредоносную веб-страницу. Microsoft классифицирует попытки использования этой бреши под идентификатором Exploit:JS/CVE-2008-0015.
Механизм атаки на Windows через CVE-2008-0015 предполагает, что при посещении зараженной страницы происходит соединение с удаленным сервером для загрузки червя Dogkild. Этот вредонос распространяется через съемные носители, способен загружать и запускать дополнительные бинарные файлы, перезаписывать системные данные и принудительно завершать процессы, связанные с безопасностью. Кроме того, Dogkild модифицирует файл Hosts в Windows, блокируя доступ к сайтам обновлений и ресурсам по кибербезопасности.
В ответ на выявленные риски CISA выпустила обязательную директиву для федеральных агентств исполнительной власти (FCEB). Регулятор требует применить необходимые исправления для обеспечения оптимальной защиты информационных систем. Окончательный срок выполнения предписания по устранению данных уязвимостей установлен до 10 марта 2026 года.
Изображение носит иллюстративный характер
Первая уязвимость, получившая идентификатор CVE-2026-2441, обнаружена в браузере Google Chrome. Проблема классифицируется как use-after-free (использование освобожденной памяти), что может привести к повреждению кучи (heap corruption) через специально созданную HTML-страницу. Корпорация Google подтвердила наличие эксплойта в дикой природе, однако технические детали механизма атаки намеренно не разглашаются для защиты пользователей, которые еще не установили обновления безопасности.
Вторая угроза связана с программным обеспечением TeamT5 ThreatSonar Anti-Ransomware. Уязвимость CVE-2024-7694, получившая оценку CVSS 7.2, затрагивает версии продукта 3.4.5 и более ранние. Она заключается в возможности произвольной загрузки файлов, что позволяет злоумышленникам размещать вредоносные объекты на сервере и выполнять произвольные системные команды. Несмотря на подтвержденную активность, точный сценарий текущей эксплуатации пока остается неясным.
Третья уязвимость, CVE-2020-7796, найдена в Synacor Zimbra Collaboration Suite (ZCS) и имеет критический рейтинг CVSS 9.8. Это ошибка типа Server-Side Request Forgery (SSRF) — подделка запросов на стороне сервера. Используя этот вектор, хакеры могут отправлять специально сформированные HTTP-запросы к удаленному хосту, получая несанкционированный доступ к чувствительной информации внутри целевой инфраструктуры.
Согласно отчету компании GreyNoise, занимающейся аналитикой угроз, от марта 2025 года, эксплуатация уязвимости в Zimbra ведется группировкой, использующей кластер из примерно 400 IP-адресов. География атак охватывает множество стран, включая США, Германию, Сингапур, Индию, Литву и Японию, что подтверждает глобальный масштаб кампании.
Четвертая запись в обновлении CISA касается устаревшей, но вновь актуальной уязвимости CVE-2008-0015 в Microsoft Windows Video ActiveX Control. С оценкой CVSS 8.8 эта проблема представляет собой переполнение буфера в стеке, позволяющее удаленное выполнение кода через вредоносную веб-страницу. Microsoft классифицирует попытки использования этой бреши под идентификатором Exploit:JS/CVE-2008-0015.
Механизм атаки на Windows через CVE-2008-0015 предполагает, что при посещении зараженной страницы происходит соединение с удаленным сервером для загрузки червя Dogkild. Этот вредонос распространяется через съемные носители, способен загружать и запускать дополнительные бинарные файлы, перезаписывать системные данные и принудительно завершать процессы, связанные с безопасностью. Кроме того, Dogkild модифицирует файл Hosts в Windows, блокируя доступ к сайтам обновлений и ресурсам по кибербезопасности.
В ответ на выявленные риски CISA выпустила обязательную директиву для федеральных агентств исполнительной власти (FCEB). Регулятор требует применить необходимые исправления для обеспечения оптимальной защиты информационных систем. Окончательный срок выполнения предписания по устранению данных уязвимостей установлен до 10 марта 2026 года.
