Опубліковано
Оновлено
Під час операції Lunar Peek у листопаді 2024 року зловмисники отримали неавторизований віддалений адміністративний доступ, а згодом і повний контроль (root), до понад 13 000 інтерфейсів керування Palo Alto Networks, що перебували у відкритому доступі. Palo Alto Networks оцінила CVE-2024-0012 на 9.3, а CVE-2024-9474 — на 6.9 за шкалою CVSS v4.0. NVD оцінила ту саму пару на 9.8 та 7.2 за CVSS v3.1. Дві системи оцінювання. Дві різні відповіді на ті самі вразливості. Оцінка 6.9 була нижчою за порогові значення для встановлення патчів. Для експлуатації, як здавалося, потрібен був адміністративний доступ. Оцінка 9.3 стояла в черзі на обслуговування. Сегментація мала б спрацювати.
“Зловмисники обходять [рейтинги серйозності], поєднуючи вразливості”, — заявив Адам Мейерс, старший віце-президент з контррозвідувальних операцій у CrowdStrike, в ексклюзивному інтерв’ю VentureBeat 22 квітня 2026 року. Щодо логіки сортування, яка пропустила ланцюжок: “Вони просто мали амнезію з попередніх 30 секунд”.
Обидві CVE включені до каталогу CISA Known Exploited Vulnerabilities (KEV). Жодна з оцінок не сигналізувала про вразливість у ланцюжку атак. Логіка сортування, яка використовувала ці оцінки, розглядала кожну CVE як ізольовану подію, так само як і панелі моніторингу SLA та звіти для ради директорів, які ці панелі формують.
CVSS зробила саме те, для чого була розроблена: оцінити одну вразливість за раз. Проблема в тому, що зловмисники не атакують одну вразливість одночасно.
“Базові оцінки CVSS є теоретичними мірами серйозності, які ігнорують реальний контекст”, — написав Пітер Хроніс, колишній CISO Paramount та керівник служби безпеки з досвідом роботи у Fortune 100. Перейшовши від пріоритезації на основі CVSS у Paramount, Хроніс повідомив про скорочення кількості критичних і високоризикованих вразливостей, що потребують дій, на 90%. Кріс Гібсон, виконавчий директор FIRST, організації, яка підтримує CVSS, був настільки ж прямим: використання лише базових оцінок CVSS для пріоритезації є “найменш підходящим та точним” методом, як повідомив Гібсон The Register. EPSS від FIRST та модель прийняття рішень SSVC від CISA частково усувають цей пробіл, додаючи ймовірність експлуатації та логіку дерева рішень.
П’ять класів збоїв сортування, які CVSS ніколи не була розроблена для виявлення
У 2025 році було оприлюднено 48 185 CVE, що на 20.6% більше порівняно з попереднім роком. Джеррі Гамблін, головний інженер Cisco Threat Detection and Response, прогнозує 70 135 CVE на 2026 рік. Інфраструктура, що стоїть за оцінками, перевантажена цією вагою. NIST оголосив 15 квітня, що кількість подань CVE зросла на 263% з 2020 року, і NVD тепер пріоритетно збагачуватиме дані лише для KEV та критично важливого програмного забезпечення для федеральних органів.
1. Поєднані CVE, які здаються безпечними, доки це не так
Пара Palo Alto з операції Lunar Peek є хрестоматійним прикладом. CVE-2024-0012 обходила автентифікацію. CVE-2024-9474 підвищувала привілеї. Оцінена окремо за обома системами CVSS v4.0 і v3.1, вразливість підвищення привілеїв потрапляла нижче більшості корпоративних порогів для встановлення патчів, оскільки для її експлуатації, здавалося, був потрібен адміністративний доступ. Обхід автентифікації вище за ланцюжком повністю усував цю передумову. Жодна оцінка не передавала сукупний ефект.
Мейерс описав операційну психологію: команди оцінювали кожну CVE незалежно, знижували пріоритет для менш серйозної та ставили вищу в чергу на обслуговування.
2. Державні зловмисники, які використовують патчі протягом кількох днів
Звіт CrowdStrike 2026 Global Threat Report зафіксував зростання на 42% за рік кількості вразливостей, експлуатованих як уразливості нульового дня (zero-day) до їх публічного розкриття. Середній час до першого проникнення (breakout time) під час спостережуваних вторгнень: 29 хвилин. Найшвидший зафіксований час: 27 секунд. Зловмисники, пов’язані з Китаєм, почали використовувати нещодавно виправлені вразливості протягом двох-шести днів після їх розкриття.
“Раніше був Patch Tuesday раз на місяць. Тепер патчі виходять щодня, постійно. Ось так виглядає цей новий світ”, — сказав Даніель Бернард, директор з бізнесу CrowdStrike. Додавання CVE до списку KEV, яке розглядається як звичайний пункт черги у вівторок, до четверга стає вікном активної експлуатації.
3. Запаси CVE, які державні актори зберігають роками
Salt Typhoon отримав доступ до комунікацій високопоставлених американських політиків під час президентського переходу, поєднавши CVE-2023-20198 з CVE-2023-20273 на пристроях Cisco, підключених до Інтернету. Це пара вразливостей підвищення привілеїв, виправлена в жовтні 2023 року, але патчі досі не встановлені більш ніж через рік. Компрометовані облікові дані надавали паралельний вектор доступу. Патчі існували. Жоден не був встановлений.
Згідно зі звітом CrowdStrike 2026 Global Threat Report, 67% вразливостей, експлуатованих зловмисниками, пов’язаними з Китаєм, у 2025 році були пов’язані з віддаленим виконанням коду, що забезпечує негайний доступ до системи. CVSS не знижує пріоритет залежно від того, як довго CVE залишається не виправленою. Жоден показник для ради директорів не відстежує застарілий доступ через KEV.
Це мовчання є вразливістю.
4. Прогалини в ідентифікації, які ніколи не потрапляють до системи оцінювання
У 2023 році соціальна інженерія через службу підтримки користувачів призвела до збитків у понад 100 мільйонів доларів для великого підприємства. CVE не було призначено. Оцінки CVSS не існувало. Вхід до конвеєра патчів не було створено. Вразливість полягала в людській процедурній прогалині в перевірці ідентичності, яка перебувала повністю поза полем зору системи оцінювання.
“Професіоналу потрібен zero-day, якщо все, що йому потрібно зробити, це зателефонувати в службу підтримки та сказати, що я забув свій пароль”, — сказав Мейерс.
Агентні системи зі штучним інтелектом тепер мають власні облікові дані, токени API та повноваження, працюючи поза межами традиційного управління вразливостями. Меррітт Бар, CSO в Enkrypt AI, стверджує, що засоби контролю поверхні ідентифікації є еквівалентами вразливостей, які повинні входити до того ж конвеєра звітності, що й програмні CVE. У більшості організацій прогалини в автентифікації служби підтримки та інвентарні дані облікових записів агентного ШІ живуть у окремому силосі управління. На практиці це нічиє управління.
5. Прискорене ШІ-виявлення, яке перевантажує конвеєр
Демонстрація Anthropic Claude Mythos Preview показала автономне виявлення вразливостей, знайшовши 27-річну переповнення знакового цілого числа (signed integer overflow) в реалізації TCP SACK OpenBSD приблизно за 1000 запусків на основі, загальна вартість обчислень становила менше 20 000 доларів. Мейерс запропонував уявний прогноз в ексклюзивному інтерв’ю VentureBeat: якщо передовий ШІ призведе до 10-кратного збільшення обсягу, результатом буде приблизно 480 000 CVE щорічно. Конвеєри, розроблені для 48 000, ламаються при 70 000 і руйнуються при 480 000. Збагачення NVD вже скасовано для подань, що не є KEV.
“Якщо зловмисник тепер може знаходити вразливості швидше, ніж захисники або бізнес, це величезна проблема, тому що ці вразливості перетворюються на експлойти”, — сказав Даніель Бернард, директор з бізнесу CrowdStrike.
CrowdStrike в четвер запустила Project QuiltWorks, коаліцію з ремедіації з Accenture, EY, IBM Cybersecurity Services, Kroll та OpenAI, створену для вирішення проблеми обсягу вразливостей, які зараз генерують моделі передового ШІ у виробничому коді. Коли п’ять великих компаній створюють коаліцію навколо проблеми конвеєра, робочий процес встановлення патчів жодної окремої організації не зможе встигнути.
План дій для керівників служби безпеки
П’ять класів збоїв, описаних вище, відповідають п’яти конкретним діям.
Проведіть аудит залежностей ланцюжків для кожної CVE зі списку KEV у вашому середовищі цього місяця. Позначте будь-які співіснуючі CVE з оцінкою 5.0 або вище — поріг, за якого можливості підвищення привілеїв та бічного переміщення зазвичай з’являються у векторах CVSS. Будь-яка пара, що поєднує обхід автентифікації з підвищенням привілеїв, повинна бути класифікована як критична, незалежно від індивідуальних оцінок.
Скоротіть SLA з встановлення патчів для KEV до 72 годин для систем, що підключені до Інтернету. Дані про час до першого проникнення зі звіту CrowdStrike 2026 Global Threat Report (середнє 29 хвилин і найшвидший час 27 секунд) роблять щотижневі вікна встановлення патчів неприйнятними для презентацій перед радою директорів.
Створіть щомісячний звіт про старіння KEV для ради директорів. Кожна не виправлена KEV CVE, кількість днів з моменту розкриття, кількість днів з моменту доступності патча та відповідальний. Salt Typhoon експлуатував CVE Cisco, виправлену 14 місяців тому, тому що не існувало шляху ескалації для застарілого доступу.
Додайте засоби контролю поверхні ідентифікації до конвеєра звітності про вразливості. Прогалини в автентифікації служби підтримки та інвентарні дані облікових записів агентного ШІ повинні бути включені до тієї ж системи SLA, що й програмні CVE. Якщо вони знаходяться в окремому силосі управління, вони нічиїм управлінням.
Перевірте потужність конвеєра на 1.5x і 10x від поточного обсягу CVE. Гамблін прогнозує 70 135 на 2026 рік. Уявний прогноз Мейерса: передовий ШІ може збільшити річний обсяг до понад 480 000. Представте розрив у потужності фінансовому директору до наступного бюджетного циклу, а не після збою, який доведе існування цього розриву.
Як захиститися (Порада ІТ-Блогу): Регулярно оновлюйте програмне забезпечення, особливо критично важливі системи, і використовуйте надійну двофакторну автентифікацію для всіх облікових записів, щоб зменшити ризик несанкціонованого доступу.
За матеріалами: venturebeat.com