Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Сюрприз от CISA: ваша «безопасная» система на самом деле уже на мушке у вымогателей (просто об этом забыли сказать)

leer en español

CISA GreyNoise Microsoft Ivanti Fortinet KEV вымогательское ПО
Сюрприз от CISA: ваша «безопасная» система на самом деле уже на мушке у вымогателей (просто об этом забыли сказать)
CISA GreyNoise Microsoft Ivanti Fortinet KEV вымогательское ПО

Даже бдительный админ может не знать о надвигающейся угрозе. Спасибо, CISA.

image

В каталоге уязвимостей CISA обнаружились малозаметные изменения, которые напрямую влияют на оценку рисков при защите инфраструктуры. Речь идёт о случаях, когда уже добавленные уязвимости задним числом получают отметку о применении в вымогательских атаках. Такие обновления не сопровождаются объявлениями и могут остаться незамеченными, хотя меняют приоритеты устранения проблем.

Гленн Торп из компании GreyNoise изучил ежедневные снимки базы Known Exploited Vulnerabilities за 2025 год и выявил 59 уязвимостей, у которых статус использования в кампаниях шифровальщиков изменился с «неизвестно» на «подтверждено». Само поле knownRansomwareCampaignUse появилось в каталоге в октябре 2023 года и должно помогать организациям точнее расставлять очерёдность установки исправлений. Однако обновление этого признака происходит без отдельных уведомлений и фиксируется только внутри JSON-файла базы.

По подсчётам GreyNoise, чаще всего скрытое обновление статуса встречалось у продуктов Microsoft — около 27% случаев. Примерно 34% таких записей относятся к сетевым и пограничным устройствам, а 39% — к уязвимостям, обнаруженным ещё до 2023 года. Минимальный срок между добавлением записи и отметкой о применении в атаках составил 1 день, максимальный — 1353 дня. Пик пришёлся на май, на него пришлось 41% всех изменений. Наиболее распространённым типом стали ошибки обхода аутентификации — около 14%.

Заметная доля обновлённых записей связана с оборудованием периметра и средствами удалённого доступа. В выборке присутствуют Fortinet SSL VPN, Ivanti Connect Secure, Palo Alto GlobalProtect и шлюзы Check Point. Также встречаются старые проблемы в Adobe Reader и других продуктах, которые спустя годы начали использоваться операторами шифровальщиков. Среди популярных техник — удалённое выполнение кода и обход проверки подлинности, что позволяет быстро получить доступ и закрепиться в системе.

В разрезе поставщиков помимо Microsoft выделяются Ivanti, Fortinet, Palo Alto Networks и Zimbra. Авторы исследования отмечают, что злоумышленники выбирают платформы с широким распространением и ценным доступом — почтовые серверы, VPN и межсетевые экраны.

Для повышения прозрачности GreyNoise запустила отдельную RSS-ленту, которая отслеживает изменения признака использования уязвимостей в вымогательских операциях и отправляет уведомления при каждом таком обновлении. По замыслу разработчиков, это должно закрыть слепую зону и помочь службам защиты быстрее пересматривать приоритеты установки исправлений.