В понедельник Агентство по кибербезопасности и защите инфраструктуры США (CISA) пополнило свой каталог известных эксплуатируемых уязвимостей (KEV) сразу тремя новыми записями. Все три бреши уже активно используются злоумышленниками в реальных атаках, и федеральным гражданским ведомствам предписано устранить их до конкретных дат в 2026 году. Затронуты продукты трёх разных вендоров: SolarWinds, Ivanti и Omnissa (бывшая VMware).
Первая уязвимость, CVE-2025-26399, затрагивает компонент AjaxProxy в SolarWinds Web Help Desk. Оценка по шкале CVSS — 9.8 из 10, что практически максимум. Суть проблемы в десериализации недоверенных данных: атакующий может выполнять произвольные команды на хостовой машине. По данным Microsoft и Huntress, именно через эту брешь злоумышленники получают первоначальный доступ к целевым системам. Предполагается, что за эксплуатацией стоит группировка Warlock, специализирующаяся на вымогательском ПО.
Федеральным агентствам из числа FCEB (Federal Civilian Executive Branch) дан срок до 12 марта 2026 года, чтобы применить исправление для SolarWinds Web Help Desk. Жёсткие дедлайны — стандартная практика CISA после внесения уязвимости в KEV, но в данном случае сроки особенно показательны: речь идёт о брешах, которые уже вовсю эксплуатируются.
Вторая уязвимость — CVE-2026-1603 в Ivanti Endpoint Manager. CVSS-оценка составляет 8.6. Проблема связана с обходом аутентификации через альтернативный путь или канал, что позволяет удалённому неаутентифицированному атакующему получить доступ к определённым сохранённым учётным данным. Компания Defused Cyber в прошлом месяце сообщила на платформе X (бывший Twitter) об активных попытках эксплуатации этой уязвимости. Атаки шли с IP-адреса 103.69.224[.]98.
Любопытная деталь: сама Ivanti в своём бюллетене безопасности до сих пор не обновила информацию о статусе эксплуатации и утверждает, что ей неизвестно ни об одном скомпрометированном клиенте. При этом CISA внесла уязвимость в каталог, опираясь на сторонние подтверждения активных атак. Расхождение между позицией вендора и оценкой регулятора — ситуация нередкая, но всегда настораживающая.
Третья уязвимость касается Omnissa Workspace One UEM (ранее VMware Workspace One UEM). Речь идёт о CVE-2021-22054 — уязвимости типа server-side request forgery (SSRF). Злоумышленник с сетевым доступом к UEM может отправлять запросы без прохождения аутентификации и добираться до чувствительной информации. В марте 2025 года компания GreyNoise зафиксировала, что эта брешь эксплуатируется в рамках координированной кампании наряду с рядом других SSRF-уязвимостей в различных продуктах.
Для Ivanti Endpoint Manager и Workspace One UEM крайний срок установки патчей — 23 марта 2026 года. Формулировка CISA не оставляет пространства для двусмысленности: «Такого рода уязвимости часто служат векторами атак для злонамеренных киберакторов и создают значительные риски для федеральной инфраструктуры».
Три уязвимости в продуктах трёх разных компаний, добавленные одновременно, — это не совпадение. Каждая из них уже задокументирована как вектор реальных атак, от вымогательских группировок до координированных SSRF-кампаний. Тот факт, что одна из уязвимостей (CVE-2021-22054) имеет идентификатор ещё 2021 года и только сейчас попала в KEV, говорит о том, что старые незакрытые бреши продолжают оставаться рабочим инструментом для атакующих спустя годы после их обнаружения.
Изображение носит иллюстративный характер
Первая уязвимость, CVE-2025-26399, затрагивает компонент AjaxProxy в SolarWinds Web Help Desk. Оценка по шкале CVSS — 9.8 из 10, что практически максимум. Суть проблемы в десериализации недоверенных данных: атакующий может выполнять произвольные команды на хостовой машине. По данным Microsoft и Huntress, именно через эту брешь злоумышленники получают первоначальный доступ к целевым системам. Предполагается, что за эксплуатацией стоит группировка Warlock, специализирующаяся на вымогательском ПО.
Федеральным агентствам из числа FCEB (Federal Civilian Executive Branch) дан срок до 12 марта 2026 года, чтобы применить исправление для SolarWinds Web Help Desk. Жёсткие дедлайны — стандартная практика CISA после внесения уязвимости в KEV, но в данном случае сроки особенно показательны: речь идёт о брешах, которые уже вовсю эксплуатируются.
Вторая уязвимость — CVE-2026-1603 в Ivanti Endpoint Manager. CVSS-оценка составляет 8.6. Проблема связана с обходом аутентификации через альтернативный путь или канал, что позволяет удалённому неаутентифицированному атакующему получить доступ к определённым сохранённым учётным данным. Компания Defused Cyber в прошлом месяце сообщила на платформе X (бывший Twitter) об активных попытках эксплуатации этой уязвимости. Атаки шли с IP-адреса 103.69.224[.]98.
Любопытная деталь: сама Ivanti в своём бюллетене безопасности до сих пор не обновила информацию о статусе эксплуатации и утверждает, что ей неизвестно ни об одном скомпрометированном клиенте. При этом CISA внесла уязвимость в каталог, опираясь на сторонние подтверждения активных атак. Расхождение между позицией вендора и оценкой регулятора — ситуация нередкая, но всегда настораживающая.
Третья уязвимость касается Omnissa Workspace One UEM (ранее VMware Workspace One UEM). Речь идёт о CVE-2021-22054 — уязвимости типа server-side request forgery (SSRF). Злоумышленник с сетевым доступом к UEM может отправлять запросы без прохождения аутентификации и добираться до чувствительной информации. В марте 2025 года компания GreyNoise зафиксировала, что эта брешь эксплуатируется в рамках координированной кампании наряду с рядом других SSRF-уязвимостей в различных продуктах.
Для Ivanti Endpoint Manager и Workspace One UEM крайний срок установки патчей — 23 марта 2026 года. Формулировка CISA не оставляет пространства для двусмысленности: «Такого рода уязвимости часто служат векторами атак для злонамеренных киберакторов и создают значительные риски для федеральной инфраструктуры».
Три уязвимости в продуктах трёх разных компаний, добавленные одновременно, — это не совпадение. Каждая из них уже задокументирована как вектор реальных атак, от вымогательских группировок до координированных SSRF-кампаний. Тот факт, что одна из уязвимостей (CVE-2021-22054) имеет идентификатор ещё 2021 года и только сейчас попала в KEV, говорит о том, что старые незакрытые бреши продолжают оставаться рабочим инструментом для атакующих спустя годы после их обнаружения.
