Критическая уязвимость нулевого дня в корпоративных VPN-шлюзах требует от администраторов срочного обновления
TL;DR
Критическая уязвимость нулевого дня в корпоративных VPN-шлюзах требует от администраторов срочного обновления
Команды безопасности столкнулись с двойной угрозой. Между федеральными агентствами и частным бизнесом развернулась гонка по защите сетевой инфраструктуры. Агентство CISA выпустило экстренное предписание — из тех, что лишают системных администраторов сна, — требующее от всех федеральных ведомств устранить критическую уязвимость в VPN-шлюзах Check Point. Почему? Потому что хакерские группировки, использующие программы-вымогатели, уже активно проникают через эту «открытую дверь».
В то же время была обнаружена опасная уязвимость захвата учетных записей, получившая идентификатор CVE-2026-11374, которая затрагивает пакет ManageEngine AD360. Не лучшая неделя для специалистов по защите сетей.
Ситуация с Check Point выглядит особенно мрачно. Имеются четкие доказательства того, что группировка Qilin активно использует эту уязвимость нулевого дня для обхода аутентификации и проникновения в корпоративные сети. Как только они оказываются внутри, игра окончена: шифрование данных, вымогательство и обычный цифровой хаос. Экстренное предписание CISA — это не рекомендация, а трехдневный ультиматум для федеральных агентств, чтобы закрыть брешь до того, как злоумышленники перейдут к горизонтальному перемещению по сети.

Помимо кошмара с VPN, существует проблема с ManageEngine AD360. Она сводится к предсказуемой ошибке генерации билетов единого входа (SSO). Проще говоря, неавторизованный злоумышленник может выдать себя за легитимного пользователя. Если вы используете интегрированные продукты, такие как ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus или ADAudit Plus, вы фактически передаете ключи от королевства любому, кто знает, как использовать эту архитектурную слабость. Уязвимость была обнаружена исследователем 0xmanhnv через программу Zoho BugBounty, а патчи доступны с середины июня. Если вы еще не обновились, вы работаете в долг у времени.
Анализ ситуации
| Уязвимость | Затронутые системы | Основной риск |
|---|---|---|
| Check Point VPN Zero-Day | VPN-шлюзы | Обход аутентификации, развертывание программ-вымогателей |
| CVE-2026-11374 | Пакет ManageEngine AD360 | Захват учетных записей через предсказуемые SSO-токены |
Тенденция атаковать пограничные устройства — те самые VPN, которые стоят на периметре, — является стратегическим сдвигом для операторов программ-вымогателей. Они ищут не просто способ войти, а постоянный плацдарм. Использование группировкой Qilin уязвимости нулевого дня в Check Point — это тревожный сигнал. Если ваша организация полагается на эти конкретные VPN-продукты, прекратите чтение и прямо сейчас проверьте статус своей версии.
Для пакета ManageEngine исправление не менее важно. Поскольку эта уязвимость позволяет выдавать себя за другого пользователя во всем стеке управления идентификацией, риск горизонтального перемещения крайне высок. Если злоумышленник проникнет внутрь, он не просто украдет файл — он повысит привилегии и доберется до самых конфиденциальных данных.
Рекомендуемые меры по снижению рисков
- Приоритетное обновление: Не ждите. Немедленно примените патчи безопасности для VPN-шлюзов Check Point. Если вы являетесь федеральной организацией, время уже пошло.
- Обновите AD360: Убедитесь, что все компоненты — ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus и ADAudit Plus — работают на сборках, выпущенных после 12 июня 2026 года.
- Следите за логами: Обращайте внимание на странные шаблоны входа. Если вы видите несколько неудачных попыток или странное поведение SSO, считайте, что вас сканируют.
- Защитите периметр: Если вам не нужно, чтобы интерфейс управления VPN был открыт для публичного интернета, скройте его. Используйте белый список IP-адресов или доступ только через VPN, чтобы сократить поверхность атаки.
- Проверьте администраторов: Проверьте свои административные учетные записи. Добавлял ли кто-то нового пользователя, пока уязвимость была активна? Если да, считайте это компрометацией.
Эти две угрозы — суровое напоминание о том, что управление уязвимостями не является задачей «настроил и забыл». Поскольку злоумышленники совершенствуют свою способность использовать пограничную инфраструктуру и программное обеспечение для управления идентификацией, разрыв между обнаружением уязвимости и ее эксплуатацией сокращается почти до нуля.
Не полагайтесь на автоматические оповещения. Ручная проверка — единственный способ быть уверенным. Сверьте текущие версии вашего программного обеспечения со списком уязвимых сборок от поставщика. В нынешних условиях методичный, практический подход к установке патчей — это единственное, что стоит между вашей сетью и требованием о выкупе. Будьте бдительны, обновляйте системы и исходите из того, что если вы не устанавливаете патчи, кто-то другой уже ищет вашу слабость.