CISA dodala dve aktivno eksploatisane ranljivosti na listu poznatih napada
CISA je uvrstila dve aktivno napađane ranljivosti u ConnectWise i Windows-u na listu poznatih eksploatacija. Potrebne su hitne zakrpe.
Šta se desilo?
Američka agencija za sajber-bezbednost (CISA) je uvrstila dve kritične ranljivosti na svoju listu poznatih eksploatisanih bezbednosnih nedostataka (KEV katalog). Prve ranljivosti u ConnectWise ScreenConnect i Microsoft Windows-u se već aktivno koriste u realnim napadima. CISA je obavezala sve federalne agencije da primenе zakrpe do 12. maja 2026.
Koga pogađa?
Opasnost je posebno velika za korisnika ConnectWise ScreenConnect-a - softver koji se koristi za daljinsku administraciju i podrsku računarskih sistema. Takođe, svi vlasnici Windows sistema mogu biti ugroženi. Vladine agencije, preduzeća sa kritičnom infrastrukturom i zemlje EU posebno su u žiži, s obzirom da su ove ranljivosti već korišćene u ciljanim napadima.
Kako se zaštititi?
- Odmah ažurirajte ConnectWise ScreenConnect na verziju sa ispravkom iz februara 2024
- Primeni Windows bezbednosne zakrpe od aprila 2026 ili novije verzije
- Monitoring - prati sumnjive aktivnosti u dnevnicima pristupa daljinskim alatima
- Ograniči pristup ConnectWise ScreenConnect-u samo na potrebne korisnike i IP adrese
- Koristi jaku autentifikaciju (MFA) na svim kritičnim sistemima
- Redovno pregleda logove za znakove bočnog kretanja kroz mrežu
Tehnički detalji
CVE-2024-1708 (CVSS: 8.4) je ranjivost tipa path traversal u ConnectWise ScreenConnect-u koja omogućava napada izvršavanje koda sa udaljene lokacije i pristup poverljivim podacima. CVE-2026-32202 (CVSS: 4.3) je greška u Windows Shell-u koja omogućava spoofing preko mreže. Istraživanja Akamai-ja pokazuju da je CVE-2026-32202 rezultat nepotpune ispravke prethodne ranljivosti (CVE-2026-21510) koju je ruska APT grupa APT28 koristila kao zero-day napad od decembra 2025. Ranljivost CVE-2024-1708 je često kombinovana sa CVE-2024-1709 (CVSS: 10.0), kritičnom greskom u autentifikaciji, što koristi kineska hakersка grupa Storm-1175 sa Medusa ransomware malverom.
Preporuka Sajber Radara
Ove ranljivosti nisu samo teorijske pretnje - već se masovno eksploatišu u napadima. Prioritet treba biti odmah primeniti dostupne zakrpe, posebno za ConnectWise ScreenConnect. Organizacije bez mogućnosti blagajnog ažuriranja trebaju odmah primeniti dodatne kontrole pristupa i monitoring.