Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило, что уязвимость обхода аутентификации, исправленная в Ivanti Endpoint Manager (EPM) в прошлом месяце, теперь активно эксплуатируется в реальных атаках. Агентство также обновило свою директиву, касающуюся двух уязвимостей в Cisco Catalyst SD-WAN, которые также были устранены в прошлом месяце после использования в атаках нулевого дня.
Уязвимость в Ivanti EPM, отслеживаемая как CVE-2026-1603, затрагивает версии EPM до 2024 SU5. Она позволяет удаленному злоумышленнику без аутентификации раскрывать сохраненные учетные данные и была исправлена 9 февраля наряду с другой уязвимостью SQL-инъекции в EPM, отслеживаемой как CVE-2026-1602.
На тот момент Ivanti выразила благодарность исследователю, работавшему с программой Trend Micro’s Zero Day Initiative, за сообщение об уязвимостях, и заявила, что ей не было известно о случаях эксплуатации этих уязвимостей клиентами.
Ситуация, по-видимому, изменилась: на этой неделе CISA добавило CVE-2026-1603 в свой каталог известных эксплуатируемых уязвимостей (KEV) вместе с двумя другими: уязвимостью удаленного выполнения кода в SolarWinds Web Help Desk (CVE-2025-26399) и проблемой подделки запросов на стороне сервера (SSRF) в VMware Workspace ONE UEM (Unified Endpoint Management), ныне входящем в состав Omnissa (CVE-2021-22054).
Хотя уязвимость в SolarWinds Web Help Desk была исправлена в сентябре прошлого года, стоит отметить, что она являлась обходом более старой уязвимости десериализации Java, CVE-2024-28986, которая активно эксплуатировалась вскоре после исправления. В связи с этим исследователи предупреждали, что CVE-2025-26399, вероятно, пойдет по схожему пути, что теперь и подтвердила CISA.
Продукт SolarWinds WHD уже становился целью атак, в том числе в январе этого года через две уязвимости нулевого дня.
Также на этой неделе CISA обновило свою экстренную директиву, касающуюся CVE-2026-20127 и CVE-2022-20775 — уязвимости обхода аутентификации и проблемы повышения привилегий в Cisco SD-WAN Controller и программном обеспечении. Агентства по кибербезопасности из альянса «Пять глаз» выпустили совместное предупреждение по поводу CVE-2026-20127 в прошлом месяце после того, как уязвимость была обнаружена в ходе активных атак.
Ситуацию усугубляет то, что имелись признаки эксплуатации уязвимости еще с 2023 года, благодаря чему атаки оставались незамеченными почти 3 года.
CISA выпустило директиву для федеральных государственных учреждений с требованием идентифицировать затронутые системы в своих сетях, устранить уязвимости и провести поиск компрометаций. Обновленная версия директивы, выпущенная на этой неделе, добавляет требования, касающиеся отчетности и действий. В частности, федеральные агентства должны предоставить CISA собранные журналы развертывания SD-WAN до 26 марта.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
