Статус используемых в программах-вымогателях получили 59 уязвимостей из KEV
3 мин
16
Исследователи информационной безопасности GreyNoise Research рассказали, что Агентство по кибербезопасности США (CISA) в 2025 году без каких-либо публичных объявлений изменило статус 59 уязвимостей в каталоге Known Exploited Vulnerabilities. Все проблемы безопасности получили отметку об использовании в атаках программ-вымогателей в форме соответствующего значения в JSON-файле. Некоторые уязвимости получили флаг о программах-вымогателях буквально через несколько дней после попадания в каталог KEV.
В октябре 2023 года CISA добавило в каталог KEV поле knownRansomwareCampaignUse. Оно показывает, взяли ли уязвимость на вооружение операторы шифровальщиков. Когда значение меняется с Unknown на Known — это сигнал: у нас есть доказательства, что эту брешь используют в реальных атаках. Для компаний это прямое указание пересмотреть приоритеты патчинга, однако CISA не отправляет каких-либо уведомлений.
Чтобы выявить все изменения, исследователям пришлось каждый день сохранять копии каталога и сравнивать версии вручную. Анализ показал 59 уязвимостей со сменой статуса за год. Больше всего таких проблем безопасности пришлось на Microsoft — 27% от общего числа. Треть уязвимостей касалась сетевых устройств на периметре. 39% — это старые баги, найденные до 2023 года. Самая быстрая смена статуса заняла один день после добавления в каталог. Самая медленная растянулась на 1353 дня. Пик пришёлся на май 2025 года, когда новый статус получил 41% уязвимостей. Чаще всего шифровальщики эксплуатировали обход аутентификации — 14%от общего числа.
19 уязвимостей из 59 угрожают сетевым устройствам безопасности: SSL-VPN от Fortinet, Ivanti Connect Secure, GlobalProtect от Palo Alto, Check Point Security Gateway. Именно это оборудование должно защищать периметр. Операторы шифровальщиков строят свои плейбуки именно вокруг этих устройств. В списке оказались даже очень старые баги Adobe Reader, которые внезапно стали актуальны для программ-вымогателей.
Microsoft лидирует в списке с 16 записями, включая уязвимости SharePoint, Print Spooler, групповые политики, обход Mark-of-the-Web и другие. У Ivanti шесть уязвимостей в Connect Secure и EPM — обход аутентификации, инъекция команд, SSRF. У Fortinet новый статус получили пять проблем безопасности в FortiOS SSL-VPN. По три уязвимости пришлись на Palo Alto Networks и Zimbra. Последняя до сих пор остаётся распространённым вектором для компрометации корпоративной почты.
После презентации на BSidesLV в 2024 году исследователи создали инструмент для отслеживания этих скрытых изменений. RSS-лента проверяет каталог каждый час и отправляет уведомления при любой смене статуса. Теперь обновления в JSON не удастся сохранить незамеченными.
Актуальные изменения датированы 28 января 2026 года. CISA обновило статус четырёх уязвимостей: планировщик задач Windows, панель управления CyberPanel, браузер Firefox и ядро Windows. Для всех подтверждено использование в атаках программ-вымогателей.
Полный список из 59 CVE доступен для скачивания в формате CSV. В нём встречаются Check Point, Qlik, Synacor, Atlassian, GitLab, Intel, Oracle, WebRTC, SAP, Linux, Meta и другие вендоры. Самые ранние из скорректированных записей датируются 2008 годом. Это баги Adobe Reader, которые хранились в каталоге годами и внезапно стали актуальны для шифровальщиков.
