CISA dodaje osiem aktywnie wykorzystywanych luk do KEV. Na liście Cisco SD-WAN, TeamCity, PaperCut i Zimbra - Security Bez Tabu

CISA dodaje osiem aktywnie wykorzystywanych luk do KEV. Na liście Cisco SD-WAN, TeamCity, PaperCut i Zimbra

Cybersecurity news

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities (KEV) o osiem nowych podatności, dla których istnieją dowody aktywnego wykorzystania w rzeczywistych atakach. Taki wpis ma duże znaczenie operacyjne, ponieważ oznacza, że dana luka nie jest już wyłącznie ryzykiem teoretycznym, lecz elementem bieżącego krajobrazu zagrożeń.

Dla organizacji i zespołów bezpieczeństwa aktualizacja KEV stanowi wyraźny sygnał do natychmiastowej weryfikacji ekspozycji, przyspieszenia procesu łatania oraz zwiększenia monitoringu pod kątem oznak kompromitacji.

W skrócie

Do katalogu KEV dodano osiem podatności dotyczących produktów Cisco Catalyst SD-WAN Manager, PaperCut NG/MF, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA oraz Synacor Zimbra Collaboration Suite. Wśród nowych wpisów szczególnie wyróżniają się trzy luki w Cisco SD-WAN Manager, które dotyczą newralgicznej warstwy zarządzania infrastrukturą sieciową.

  • Nowe wpisy obejmują błędy uwierzytelniania, traversal ścieżek, ujawnienie informacji oraz XSS.
  • Podatności mogą prowadzić do przejęcia uprawnień, zapisu lub nadpisania plików, dostępu do danych poufnych oraz nadużyć administracyjnych.
  • Fakt dodania do KEV oznacza potwierdzone wykorzystanie przez atakujących, a więc wyższy priorytet działań naprawczych.

Kontekst / historia

Katalog KEV jest jednym z najważniejszych mechanizmów priorytetyzacji łatania podatności, ponieważ koncentruje się na lukach realnie wykorzystywanych przez przeciwników. W praktyce dla wielu organizacji to właśnie obecność podatności w KEV, a nie sam wynik CVSS, decyduje o kolejności działań operacyjnych.

Najnowsza aktualizacja objęła CVE-2023-27351 w PaperCut NG/MF, CVE-2024-27199 w JetBrains TeamCity, CVE-2025-2749 w Kentico Xperience, CVE-2025-32975 w Quest KACE SMA, CVE-2025-48700 w Zimbra Collaboration Suite oraz trzy luki w Cisco Catalyst SD-WAN Manager: CVE-2026-20122, CVE-2026-20128 i CVE-2026-20133.

Część z tych błędów była już wcześniej łączona z realnymi kampaniami. Luka w PaperCut była historycznie kojarzona z incydentami prowadzącymi do wdrożeń ransomware, natomiast podatności w Zimbrze pojawiały się w kontekście operacji wymierzonych w podmioty wysokiego znaczenia. Z kolei Cisco potwierdziło aktywne wykorzystanie części luk dotyczących SD-WAN Manager.

Analiza techniczna

Zestaw nowych wpisów pokazuje, że atakujący nadal stawiają na błędy o dużej użyteczności operacyjnej. Nie zawsze są to podatności o najwyższej punktacji CVSS, ale takie, które dobrze wpisują się w scenariusze przejęcia systemu, eskalacji uprawnień lub dalszego ruchu bocznego.

CVE-2023-27351 w PaperCut NG/MF to błąd typu improper authentication, umożliwiający obejście mechanizmu uwierzytelniania. Tego rodzaju podatność może znacząco obniżyć próg wejścia dla napastnika i otworzyć drogę do dalszych działań w środowisku aplikacyjnym.

CVE-2024-27199 w JetBrains TeamCity dotyczy traversalu ścieżek i może umożliwiać wykonanie ograniczonych działań administracyjnych. W środowiskach CI/CD nawet częściowa kontrola nad platformą buildową stanowi poważne zagrożenie dla integralności pipeline’ów, sekretów oraz łańcucha dostaw oprogramowania.

CVE-2025-2749 w Kentico Xperience wiąże się z możliwością przesyłania arbitralnych danych do lokalizacji względnych względem ścieżki docelowej. W praktyce oznacza to ryzyko nieautoryzowanego zapisu plików, który w określonych warunkach może prowadzić do utrwalenia dostępu lub dalszej kompromitacji aplikacji.

CVE-2025-32975 w Quest KACE SMA stwarza możliwość podszycia się pod prawidłowych użytkowników bez posiadania ważnych poświadczeń. W systemach służących do zarządzania punktami końcowymi i zasobami IT taki scenariusz może szybko przełożyć się na przejęcie funkcji administracyjnych.

CVE-2025-48700 w Zimbra Collaboration Suite jest podatnością XSS, jednak jej znaczenie wykracza poza klasyczne scenariusze kradzieży sesji. W środowisku pocztowym może prowadzić do dostępu do wrażliwych informacji, tokenów sesyjnych, zawartości skrzynek czy danych organizacyjnych.

Najpoważniejszy technicznie zestaw dotyczy Cisco Catalyst SD-WAN Manager. CVE-2026-20122 wiąże się z niewłaściwym użyciem uprzywilejowanych interfejsów API i może pozwalać na przesyłanie oraz nadpisywanie arbitralnych plików, a następnie uzyskanie uprawnień użytkownika vManage. CVE-2026-20128 dotyczy przechowywania haseł w formacie możliwym do odzyskania, co może umożliwiać lokalnemu, uwierzytelnionemu napastnikowi eskalację uprawnień. CVE-2026-20133 prowadzi natomiast do ujawnienia wrażliwych informacji nieuprawnionym podmiotom.

Z perspektywy ofensywnej szczególnie groźne są scenariusze łańcuchowe, w których ujawnienie informacji, zapis plików i eskalacja uprawnień są wykorzystywane kolejno, aby uzyskać trwały i szeroki dostęp do infrastruktury zarządzania siecią.

Konsekwencje / ryzyko

Najważniejsze ryzyko wynika z faktu, że mowa o podatnościach aktywnie wykorzystywanych. Oznacza to, że po stronie atakujących istnieją już gotowe techniki, procedury i często także automatyzacja umożliwiająca szybkie skanowanie oraz próbę kompromitacji narażonych systemów.

Wpływ biznesowy zależy od klasy produktu. W przypadku TeamCity naruszenie może prowadzić do kompromitacji procesu wytwarzania oprogramowania i incydentów typu supply chain. W środowiskach pocztowych oraz systemach zarządzania drukiem skutki mogą obejmować utratę poufności, przejęcie kont i rozszerzenie ataku w głąb organizacji. W Quest KACE SMA ryzyko dotyczy przejęcia procesów administracyjnych związanych z zarządzaniem stacjami roboczymi i zasobami.

Najpoważniejsze skutki może jednak wywołać kompromitacja Cisco SD-WAN Manager. Atak na platformę centralnego zarządzania siecią może prowadzić nie tylko do wycieku danych, lecz także do ingerencji w konfigurację, zakłóceń działania usług i stworzenia warunków do ruchu bocznego między segmentami infrastruktury.

Rekomendacje

Organizacje powinny potraktować aktualizację KEV jako bezpośredni impuls do działań operacyjnych. W pierwszej kolejności należy zidentyfikować wszystkie instancje produktów objętych nowymi wpisami i porównać ich wersje z biuletynami producentów.

  • Niezwłocznie wdrożyć poprawki lub wersje naprawcze dla Cisco Catalyst SD-WAN Manager, TeamCity, PaperCut NG/MF, Kentico Xperience, Quest KACE SMA i Zimbra Collaboration Suite.
  • Zweryfikować logi pod kątem nietypowych działań administracyjnych, nowych kont, zmian konfiguracji oraz anomalii w dostępie do sekretów i danych.
  • W przypadku Zimbry przeanalizować logowania, eksport skrzynek, tokeny sesyjne i podejrzane żądania webmail.
  • Dla Cisco SD-WAN skontrolować integralność plików, użycie uprzywilejowanych API, ślady odczytu plików poświadczeń oraz anomalie dotyczące kont vManage i DCA.
  • Jeżeli natychmiastowe łatanie nie jest możliwe, ograniczyć ekspozycję poprzez segmentację, izolację interfejsów zarządzających, kontrolę dostępu, rotację poświadczeń i wzmożony monitoring.

Zespoły SOC powinny dodatkowo zwiększyć priorytet alertów związanych z tymi produktami, ponieważ obecność luki w KEV zwykle przekłada się na wzrost liczby prób wykorzystania w krótkim czasie.

Podsumowanie

Dodanie ośmiu nowych podatności do katalogu KEV potwierdza, że atakujący nadal skutecznie wykorzystują błędy uwierzytelniania, traversale ścieżek, ujawnienia informacji, arbitralny zapis plików i XSS przeciwko popularnym rozwiązaniom korporacyjnym. Szczególne znaczenie ma sytuacja wokół Cisco Catalyst SD-WAN Manager, ponieważ dotyczy ona systemu centralnie zarządzającego infrastrukturą sieciową.

Dla obrońców kluczowe pozostają szybka identyfikacja narażonych zasobów, priorytetyzacja łatania na podstawie realnej eksploatacji oraz aktywne poszukiwanie śladów kompromitacji. Wpis do KEV nie jest ostrzeżeniem na przyszłość, lecz potwierdzeniem, że przeciwnik już działa.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/04/cisa-adds-8-exploited-flaws-to-kev-sets.html
  2. Cisco Catalyst SD-WAN Vulnerabilities — https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-sdwan-authbp-qwCX8D4v.html
  3. Cisco Security Advisory — https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v
  4. CERT-UA report on attacks exploiting Zimbra vulnerabilities — https://cip.gov.ua/ua/news/analitichnii-zvit-rosiiski-kiberoperaciyi-h2-2025
  5. CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog