ThreatScope
Критични уязвимости, активно експлоатирани (23–29 март 2026)
🎧 Чуйте кратък обзор на тазседмичния доклад
В периода 23–29 март 2026 доминиращият рисков модел се фокусира върху експлоатация на инфраструктурни компоненти, CI/CD системи и remote access среди.
За разлика от седмици, доминирани от уеб уязвимости, тук се наблюдава изместване към по-дълбоки оперативни слоеве.
Атакуващите таргетират среди, в които контролът върху инфраструктурата, pipeline-ите или remote достъпа води до по-бърз и по-широк ефект.
Основни уязвимости
| CVE | Technology | CVSS | Type |
|---|---|---|---|
| CVE-2024-21626 | runc (Containers) | 9.8 | Container Escape |
| CVE-2023-46805 + CVE-2024-21887 | Ivanti VPN | 9.1–9.8 | Auth Bypass + RCE |
| CVE-2024-23897 | Jenkins | 9.8 | File Read → RCE |
| CVE-2023-46604 | Apache ActiveMQ | 10.0 | Deserialization RCE |
| CVE-2023-27997 | Fortinet SSL VPN | 9.8 | Remote Code Execution |
| CVE-2022-22965 | Spring Framework | High | Remote Code Execution |
| CVE-2023-38408 | OpenSSH | High | Agent Forwarding Abuse |
| CVE-2024-10400 | WordPress Plugin | High | Cross-Site Scripting |
| CVE-2023-2727 | Kubernetes API | High | Exposure / Misconfig |
| CVE-2023-7028 | GitLab | High | Account Takeover |
Анализ на уязвимостите
runc Container Escape
CVE-2024-21626
Неправилна обработка на file descriptor-и позволява излизане от контейнера към хоста.
Влияние:
- компрометиране на хост системата
- пълно излагане на инфраструктурата в container среди
Това нарушава основното предположение за изолация в Kubernetes и Docker.
Ivanti VPN Chain Exploit
CVE-2023-46805 + CVE-2024-21887
Комбинация от уязвимости позволява неаутентифицирано remote изпълнение.
Влияние:
- външен достъп до мрежата
- извличане на креденшъли
- странично придвижване
Jenkins Arbitrary File Read → RCE
CVE-2024-23897
Неправилни CLI права позволяват достъп до чувствителни файлове и изпълнение на код.
Влияние:
- компрометиране на pipeline-и
- изтичане на чувствителни данни
Apache ActiveMQ RCE
CVE-2023-46604
Deserialization уязвимост, активно експлоатирана.
Влияние:
- remote изпълнение
- компрометиране на messaging инфраструктура
Fortinet SSL VPN RCE
CVE-2023-27997
Remote code execution през VPN интерфейс.
Влияние:
- неоторизиран достъп
- вход към вътрешната мрежа
Допълнителни наблюдения
- OpenSSH agent forwarding позволява индиректни execution пътища
- Kubernetes API експозиция показва постоянни конфигурационни слабости
- GitLab account takeover подчертава риска в identity слоя
- WordPress остава чест входен вектор
Анализ на риска
Вектори на атака
- remote access инфраструктура
- CI/CD системи
- container среди
- зависимости от трети страни
Вероятност
Висока.
Много от уязвимостите са:
- активно експлоатирани
- широко използвани
- трудни за откриване без непрекъснат мониторинг
Приоритети за защита
Незабавно (0–72 часа)
- пачване на критичните CVE
- ограничаване на VPN достъпа
- смяна на креденшъли
- изолиране на засегнати системи
Краткосрочно (1–2 седмици)
- защита на CI/CD среди
- валидиране на container конфигурации
- укрепване на достъпа
Дългосрочно (1–3 месеца)
- непрекъснат vulnerability management
- SBOM и dependency tracking
- Zero Trust архитектура
- мониторинг на инфраструктурно поведение
Основни изводи
- Атаките се изместват към инфраструктурния слой
- VPN системите остават основна входна точка
- CI/CD средите дават висок-impact достъп
- Container изолацията не е гарантирана при определени условия
Заключение
Седмицата 23–29 март показва ясно изместване към по-дълбоки слоеве на системите.
Фокусът е върху контрол, не само върху достъп.
Компрометирането на инфраструктура или pipeline води до значително по-широк ефект.
Оперативната видимост и способността за реакция остават критични.
ThreatScope by ДИАМАТИКС се фокусира върху реалното поведение на уязвимостите в среда, а не само върху тяхното описание.
Източник: ThreatScope Weekly Research
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
