Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) we wtorek dodała cztery luki bezpieczeństwa do swojego katalogu Znanych Wykorzystywanych Luk (KEV), powołując się na dowody ich aktywnej eksploatacji w sieci.
Lista luk bezpieczeństwa:
- CVE-2026-2441 (wynik CVSS: 8.8) – Luka typu use-after-free w przeglądarce Google Chrome, która może pozwolić zdalnemu atakującemu na potencjalne wykorzystanie uszkodzenia sterty (heap corruption) za pośrednictwem spreparowanej strony HTML.
- CVE-2024-7694 (wynik CVSS: 7.2) – Luka umożliwiająca dowolne przesyłanie plików w oprogramowaniu TeamT5 ThreatSonar Anti-Ransomware (wersje 3.4.5 i wcześniejsze). Może pozwolić atakującemu na przesłanie złośliwych plików i wykonanie dowolnego polecenia systemowego na serwerze.
- CVE-2020-7796 (wynik CVSS: 9.8) – Luka typu server-side request forgery (SSRF) w pakiecie Synacor Zimbra Collaboration Suite (ZCS). Umożliwia atakującemu wysłanie spreparowanego żądania HTTP do zdalnego hosta i uzyskanie nieautoryzowanego dostępu do wrażliwych informacji.
- CVE-2008-0015 (wynik CVSS: 8.8) – Luka przepełnienia bufora stosu w Microsoft Windows Video ActiveX Control, która może pozwolić atakującemu na zdalne wykonanie kodu poprzez skonfigurowanie specjalnie spreparowanej strony internetowej.
Szczegóły zagrożeń
Dodanie CVE-2026-2441 do katalogu KEV następuje kilka dni po tym, jak Google przyznało, że „exploit dla CVE-2026-2441 istnieje w sieci”. Obecnie nie wiadomo, w jaki sposób luka jest uzbrajana, ale takie informacje są zazwyczaj wstrzymywane do czasu, aż większość użytkowników zaktualizuje oprogramowanie, aby zapobiec dołączeniu innych grup przestępczych do fali ataków.
W przypadku CVE-2020-7796, raport opublikowany przez firmę wywiadowczą GreyNoise w marcu 2025 roku ujawnił, że klaster około 400 adresów IP aktywnie wykorzystywał wiele luk SSRF, w tym CVE-2020-7796, do atakowania podatnych instancji w USA, Niemczech, Singapurze, Indiach, na Litwie i w Japonii.
Microsoft w swojej encyklopedii zagrożeń zauważa: „Gdy użytkownik odwiedza stronę internetową zawierającą exploit wykryty jako Exploit:JS/CVE-2008-0015, może ona połączyć się ze zdalnym serwerem i pobrać inne złośliwe oprogramowanie”. Firma poinformowała również, że jest świadoma przypadków, w których exploit jest używany do pobierania i uruchamiania Dogkild, robaka rozprzestrzeniającego się za pośrednictwem dysków wymiennych.
Robak ten posiada zdolności do:
- Pobierania i uruchamiania dodatkowych plików binarnych.
- Nadpisywania określonych plików systemowych.
- Zamykania długiej listy procesów związanych z bezpieczeństwem.
- Zastępowania pliku Windows Hosts w celu uniemożliwienia użytkownikom dostępu do stron internetowych powiązanych z programami zabezpieczającymi.
Obecnie nie jest jasne, w jaki sposób wykorzystywana jest luka w TeamT5 ThreatSonar Anti-Ransomware.
Federalnym agencjom cywilnym (FCEB) zaleca się zastosowanie niezbędnych poprawek do 10 marca 2026 roku w celu zapewnienia optymalnej ochrony.
