ThreatScope
Месечен обзор по киберсигурност – май 2026
🎧 Чуйте нашия месечен обзор за месец май
Последният месечен анализ откроява ясна и устойчива тенденция в корпоративните среди.
Май 2026 беше доминиран от уязвимости, засягащи пощенски системи, управляваща мрежова инфраструктура, защитни технологии, Linux и cloud среди, хостинг платформи, системи за управление на съдържание, GPU драйвери и инструменти за разработка на софтуер.
Основният оперативен риск през този месец не се свежда до отделни уязвимости.
Атакуващите продължават да приоритизират доверената инфраструктура.
Microsoft Exchange, Microsoft Defender, Cisco SD-WAN, Fortinet платформите за сигурност, Linux системите и хостинг панелите все по-често се превръщат във високостойностни цели, защото осигуряват видимост, административна власт и централизирано управление в корпоративните среди.
Този месец потвърждава по-широка стратегическа промяна.
Атакуващите вече не се фокусират единствено върху крайни устройства или изолирани системи. Те все по-често таргетират управленските слоеве, защитните механизми, системите за идентичност и публичната цифрова инфраструктура, които могат да осигурят устойчивост и оперативни прекъсвания.
Май 2026 се характеризира с пет пресичащи се рискови теми:
• атаки срещу системи за сигурност и идентичност
• експозиция на Microsoft среди и експлоатация на пощенски системи
• компрометиране на управляващата мрежова инфраструктура
• повишаване на привилегиите в Linux и cloud среди
• компрометиране на публична уеб и хостинг инфраструктура
Приоритетни уязвимости – май 2026
| Приоритет | CVE | Продукт / Производител | Основен риск |
|---|---|---|---|
| Critical | CVE-2026-20182 | Cisco Catalyst SD-WAN Controller | Заобикаляне на автентикация / административен достъп |
| Critical | CVE-2026-42897 | Microsoft Exchange Server | Активно експлоатиран OWA XSS / spoofing |
| Critical | CVE-2026-44277 | Fortinet FortiAuthenticator | Неавтентикирано изпълнение на код / команди |
| Critical | CVE-2026-26083 | Fortinet FortiSandbox | Липсващ контрол за достъп / изпълнение на код |
| Critical | CVE-2026-48172 | LiteSpeed cPanel Plugin | Root ниво на повишаване на привилегиите |
| Critical | CVE-2026-26980 | Ghost CMS | SQL injection / превземане на сайт |
| High | CVE-2026-41091 | Microsoft Defender | Локално повишаване на привилегиите |
| High | CVE-2026-45498 | Microsoft Defender | Отказ на услуга / отслабване на защитата |
| High | CVE-2026-46333 | Linux Kernel | Изтичане на идентификационни данни / локална ескалация |
| High | CVE-2026-24187 | NVIDIA GPU Drivers | Изпълнение на код / повишаване на привилегиите |
| High | Atlassian May Bulletin | Atlassian продукти | 39 високорискови + 3 критични уязвимости в компоненти от трети страни |
Анализ на рисковите теми
Системите за сигурност и идентичност под атака
Критичните уязвимости във Fortinet FortiAuthenticator и FortiSandbox потвърждават продължаваща тенденция.
Самите защитни и identity технологии все по-често се превръщат в цел.
Fortinet посочва, че CVE-2026-44277 може да позволи на неавтентикирани атакуващи да изпълняват неоторизиран код или команди, докато CVE-2026-26083 засяга контрола за достъп в уеб интерфейсите на FortiSandbox.
Влияние:
- компрометиране на процесите по автентикация
- експозиция на VPN и MFA среди
- намалена видимост върху сигурността
- компрометиране на инфраструктурата за анализ на зловреден код
Когато защитните системи се превърнат в повърхност за атака, оперативното доверие отслабва отвътре.
Експозиция на Microsoft средите
Microsoft средите останаха една от най-сериозните области на риск през май.
Уязвимостта в Microsoft Exchange CVE-2026-42897 беше добавена в каталога CISA Known Exploited Vulnerabilities на 15 май, потвърждавайки активна експлоатация.
Паралелно с това Microsoft Defender уязвимостите CVE-2026-41091 и CVE-2026-45498 бяха добавени към KEV на 20 май.
Влияние:
- компрометиране на пощенски кутии и сесии
- повишаване на привилегиите след първоначален достъп
- намалени възможности за откриване на заплахи
- оперативни прекъсвания в доверени защитни технологии
Това показва продължаващия фокус на атакуващите върху комуникационната и защитната инфраструктура.
Компрометиране на управляващата мрежова инфраструктура
Уязвимостта Cisco Catalyst SD-WAN Controller CVE-2026-20182 представлява един от най-сериозните рискове през този месец.
Публичните анализи и NVD данните показват, че успешната експлоатация може да позволи на атакуващите да се автентикират като силно привилегировани вътрешни потребители.
Уязвимостта има CVSS 10.0 и присъства в CISA KEV.
Влияние:
- административно компрометиране
- експозиция на мрежовото управление
- манипулиране на трафика
- по-широк контрол върху инфраструктурата
Системите за централизирано управление все по-често се превръщат в основни оперативни цели.
Повишаване на привилегиите в Linux и cloud среди
Уязвимостта Linux kernel CVE-2026-46333, разкрита от Qualys през май, засяга Linux сървъри, CI/CD среди, cloud натоварвания и споделена инфраструктура.
Пачът беше публикуван на 14 май.
Влияние:
- изтичане на идентификационни данни
- локално повишаване на привилегиите
- риск от устойчивост след проникване
- компрометиране на cloud и споделени среди
Linux и cloud инфраструктурата остават привлекателни цели, защото поддържат критични натоварвания и привилегировани операции.
Публична уеб и хостинг инфраструктура
Публично достъпната инфраструктура остана силно таргетирана през целия май.
LiteSpeed User-End cPanel Plugin уязвимостта CVE-2026-48172 позволяваше на автентикирани cPanel потребители да изпълняват скриптове с root права и беше експлоатирана активно.
Ghost CMS уязвимостта CVE-2026-26980 беше използвана за компрометиране на над 700 уебсайта чрез ClickFix кампании.
Влияние:
- компрометиране на хостинг среда
- превземане на уебсайтове
- внедряване на зловреден код
- увреждане на репутацията и доверието на клиентите
Тези случаи потвърждават, че публичната уеб инфраструктура продължава да осигурява мащаб и видимост за атакуващите.
Оценка на бизнес въздействието
| Бизнес област | Риск |
|---|---|
| Имейл и сътрудничество | Exchange експлоатация и компрометиране на пощенски кутии |
| Мрежови операции | Компрометиране на Cisco SD-WAN управляваща инфраструктура |
| Операции по сигурността | Намалено доверие в защитните технологии |
| Cloud и Linux инфраструктура | Експозиция на идентификационни данни и root достъп |
| Хостинг и уеб присъствие | Превземане на сайтове и внедряване на зловреден код |
| Платформи за разработка | Atlassian и инструменти за разработка |
Препоръчителни управленски действия
Незабавно (0–7 дни)
- Пачване на Cisco SD-WAN Controller за CVE-2026-20182
- Прилагане на Microsoft Exchange mitigations за CVE-2026-42897
- Пачване на FortiAuthenticator и FortiSandbox
- Проверка на Microsoft Defender версиите
- Пачване на LiteSpeed cPanel Plugin и Ghost CMS
- Пачване на Linux системите, засегнати от CVE-2026-46333
Действия до 30 дни
- Валидиране чрез vulnerability scans
- Преглед на публично достъпните управленски интерфейси
- Ротация на идентификационни данни и API ключове при съмнение за компрометиране
- Преглед на административните логове в Exchange, Cisco, Fortinet, cPanel и Ghost
- Обновяване на NVIDIA драйверите в GPU, VDI, AI/ML и инженерни среди
Стратегически действия до 90 дни
- Внедряване на KEV-базиран процес за управление на уязвимостите
- Изискване активно експлоатирани CVE да се отстраняват до 72 часа
- Изолиране на управленските системи от потребителски и интернет мрежи
- Одобрителен контрол върху инструменти и разширения за разработка
- Интегриране на доказателства за уязвимости в ISO 27001 процесите
ISO 27001 / ISO 9001 области за доказателства
ISO 27001 доказателства
- записи за пачване
- резултати от vulnerability scans
- KEV прегледи
- административни логове
- Defender health отчети
- доказателства за Exchange mitigation
- планове за обработка на риска
ISO 9001 процесни доказателства
- corrective-action записи
- approvals за промени
- remediation SLA проследяване
- root-cause analysis при забавено обновяване
- remediation ownership matrix
Основни изводи
Май 2026 потвърждава ясен модел.
Атакуващите продължават да приоритизират управленски системи, защитни технологии, identity и пощенски платформи и публична уеб инфраструктура.
Тези системи все по-често представляват слоеве на оперативно доверие.
Когато бъдат компрометирани, атакуващите получават не само достъп, а и видимост, устойчивост и по-широк контрол.
Продължаващото таргетиране на доверената инфраструктура показва, че самата оперативна власт се превръща в основна цел.
Заключение
Май 2026 показва как корпоративният кибер риск все по-често се концентрира около доверената оперативна инфраструктура.
Месечната оценка на риска остава High, със стратегически приоритет върху проверката на пачовете, изолацията на управленските системи, наблюдението на KEV и отстраняването на проблемите, подкрепено с оперативни доказателства.
Организациите трябва да приоритизират видимостта, управлението и бързата реакция около системите, които поддържат бизнес операциите.
ThreatScope се фокусира върху това как тези рискове се проявяват в реални оперативни среди.
Източник: ThreatScope Monthly Research
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
