Дайджест уязвимостей от BI.ZONE EASM за март
В описании уязвимостей вы найдете краткий разбор рисков, рекомендации по проверке возможных следов эксплуатации на хосте, а также ссылки на открытые отчеты киберразведки и официальные рекомендации вендоров.
В этом выпуске:
- Чтение памяти в Citrix NetScaler ADC / Gateway.
- RCE в F5 BIG‑IP APM.
- RCE в Microsoft SharePoint Server.
- RCE в Grafana.
- Обход аутентификации в Keycloak.
| Идентификатор CVE | CVE‑2026‑3055 |
| Оценка по CVSS | 9,3 (critical) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2026‑3055 позволяет неаутентифицированному злоумышленнику удаленно получить доступ к чувствительным данным из памяти устройства Citrix NetScaler ADC или NetScaler Gateway, сконфигурированного как SAML Identity Provider (IdP). Это может привести к раскрытию сессионных данных, токенов или иной чувствительной информации и, как следствие, к последующему несанкционированному доступу.
Рекомендации по устранению и митигации
- Проверьте, задействован ли SAML IdP. Если устройство не используется как SAML IdP, откладывать апдейт все равно не стоит.
- Обновите NetScaler ADC и Gateway по бюллетеню CTX696300. Это означает переход на 14.1-60.58+, 13.1-62.23+ или 13.1-FIPS/NDcPP 13.1-37.262+ в зависимости от используемой ветки.
Советы по проверке следов на хосте
- Определите, есть ли на устройстве профили SAML IdP: для этого нужно проверить конфигурацию и вывод
show authentication samlIdPProfile. - Проверьте журналы NetScaler и внешние HTTP‑логи на обращения к
/saml/loginи/wsfed/passive?wctx, особенно с аномальной частотой или необычными размерами ответов. - Проверьте резкие всплески выдачи сессий, странное поведение SSO и неожиданные логины сразу после подозрительных обращений.
Полезные ссылки
- NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2026-3055 and CVE-2026-4368 // Citrix
- CVE-2026-3055 Detail // NIST NVD
- The Sequels Are Never As Good, But We’re Still In Pain (Citrix NetScaler CVE-2026-3055 Memory Overread) // watchTowr Labs
- Please, We Beg, Just One Weekend Free Of Appliances (Citrix NetScaler CVE-2026-3055 Memory Overread Part 2) // watchTowr Labs
| Идентификатор CVE | CVE‑2026‑20963 |
| Оценка по CVSS | 9,8 (critical) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2026‑20963 позволяет неаутентифицированному удаленному злоумышленнику выполнить произвольный код на сервере Microsoft SharePoint Server через десериализацию недоверенных данных, что может привести к полной компрометации SharePoint‑хоста.
Рекомендации по устранению и митигации
Обновите продукты как минимум до следующих версий:
- SharePoint Server Subscription Edition → KB5002822 → build 16.0.19127.20442.
- SharePoint Server 2019 → KB5002825 → build 16.0.10417.20083.
- SharePoint Server 2016 → KB5002828 → build 16.0.5535.1001.
Советы по проверке следов на хосте
- Проверьте IIS‑логи на нетипичные POST‑запросы незадолго до подозрительных событий дочерних процессов.
- На уровне хоста проверьте процессы
w3wp.exe>/owstimer.exeна запуск нестандартных дочерних процессов, PowerShell, cmd и любых инструментов выгрузки или загрузки файлов. - Ищите новые ASPX‑файлы, веб‑шеллы, а также неожиданные запланированные задачи и службы.
Полезные ссылки
- Microsoft SharePoint Remote Code Execution Vulnerability // Microsoft Security Response Center
- Description of the security update for SharePoint Server 2016: January 13, 2026 (KB5002828) // Microsoft Support
- Description of the security update for SharePoint Server 2019: January 13, 2026 (KB5002825) // Microsoft Support
- Description of the security update for SharePoint Server Subscription Edition: January 13, 2026 (KB5002822) // Microsoft Support
- CVE-2026-20963 Detail // NIST NVD
- Security Advisory 2026-004 // СERT-EU
- Alert — AL26-005 — Critical vulnerability impacting Microsoft SharePoint Server — CVE-2026-20963 // Canadian Centre for Cyber Security
- Actively Exploited Microsoft SharePoint Deserialization of Untrusted Data Vulnerability // Truesec
| Идентификатор CVE | CVE‑2026‑27876 |
| Оценка по CVSS | 9,1 (critical) |
| Наличие в каталоге KEV | ❌ |
Уязвимость CVE‑2026‑27876 позволяет аутентифицированному пользователю с высокими привилегиями добиться удаленного выполнения кода в экземпляре Grafana через цепочку атаки с использованием SQL Expressions и Grafana Enterprise plugin, если включен флаг sqlExpressions. Это может привести к полной компрометации сервера Grafana.
Рекомендации по устранению и митигации
- Обновите затронутые ветки Grafana до исправленных релизов: 11.6.14+, 12.1.10+, 12.2.8+, 12.3.6+ или 12.4.2+ (в зависимости от используемой ветки).
- Если флаг
sqlExpressionsне нужен, временно отключите эту функциональность и пересмотрите необходимость плагинов, участвующих в цепочке эксплуатации. - Уберите Grafana с внешнего периметра, где это возможно.
Советы по проверке следов на хосте
- Проведите инвентаризацию всех инстансов с включенным флагом
sqlExpressions. Отдельно проверьте наличие плагинов: без этих условий цепочка CVE‑2026‑27876 не должна быть достижима. - Проверьте server‑ и audit‑логи Grafana, а также reverse proxy на нетипичные обращения к API, связанные с SQL‑выражениями.
- Проверьте файловую систему, provisioning‑ и plugin‑каталоги на неожиданные новые файлы и изменения времени модификации. Отдельно проверьте процессы grafana‑server на запуск дочерних shell‑ и OS‑команд, а также на неожиданные исходящие соединения.
Полезные ссылки
| Идентификатор CVE | CVE‑2026‑3047 |
| Оценка по CVSS | 8,8 (high) |
| Наличие в каталоге KEV | ❌ |
Уязвимость CVE‑2026‑3047 позволяет пользователю с низкими привилегиями получить доступ к другим включенным клиентам Keycloak без повторной аутентификации, если отключенный SAML‑клиент все еще используется как точка входа для IdP‑инциируемого SSO. Это может привести к обходу ограничений доступа и созданию SSO‑сессии для дальнейшего доступа к связанным приложениям.
Рекомендации по устранению и митигации
- Обновите Keycloak до исправленной версии для используемой ветки. Если используется пакетная или вендорская сборка, установите соответствующее обновление из официального бюллетеня безопасности.
- Проверьте настройки брокера и realm: уберите отключенные SAML‑клиенты из точек входа для IdP‑инциируемого SSO, удалите неиспользуемые конфигурации брокера и отключите этот сценарий входа там, где он не нужен.
- После исправления пересмотрите активные SSO‑сессии и при необходимости принудительно завершите их.
Советы по проверке следов на хосте
- Проверьте, что отключенные SAML‑клиенты нельзя использовать для входа.
- В server‑ и audit‑логах Keycloak проверьте обращения к broker‑эндпоинтам, события broker‑login, создание SSO‑сессии после отключения клиента.
- Проверьте случаи выдачи токенов и доступа к другим клиентам без повторной аутентификации, затем сопоставьте их с логами внешнего IdP и пользовательской активностью.
Полезные ссылки
- CVE-2026-3047 SAML broker: Authentication bypass due to disabled SAML client completing IdP-initiated login #46909 // GitHub
- CVE-2026-3047 Detail // NIST NVD
| Идентификатор CVE | CVE‑2025‑53521 |
| Оценка по CVSS | 9,8 (critical) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2025‑53521 позволяет неаутентифицированному злоумышленнику добиться удаленного выполнения кода на устройстве F5 BIG‑IP APM, если политика доступа APM настроена на виртуальный сервер. Это может привести к полной компрометации устройства и дальнейшему злоупотреблению опубликованными через него сервисами доступа.
Эта уязвимость известна с октября 2025 года. Считалось, что с ее помощью можно максимум вызвать DoS. Однако в марте выяснилось, что она открывает путь к RCE.
Рекомендации по устранению и митигации
- Проверьте, есть ли на виртуальных серверах политика доступа APM. Если да, считайте риск приоритетным и в первую очередь установите патч на устройство.
- Обновите BIG‑IP APM как минимум до 15.1.10.8, 16.1.6.1, 17.1.3 или 17.5.1.3 в зависимости от ветки.
Советы по проверке следов на хосте
- Проверьте логи BIG‑IP APM на подозрительную локальную активность, нетипичные обращения к интерфейсам управления и аномальные HTTP‑/HTTPS‑запросы.
- Проверьте наличие вредоносных файлов на диске и изменений в чувствительных бинарных файлах. F5 и вторичные бюллетени безопасности отдельно рекомендуют использовать утилиты sys‑eicheck для проверки неожиданных изменений в системе.
- Проверьте наличие файлов
/run/bigtlog.pipeили/run/bigstart.ltm. - Проверьте лог‑файлы согласно рекомендациям вендора.
Полезные ссылки
- K000156741: BIG-IP APM vulnerability CVE-2025-53521 // F5
- K000160486: Indicators of Compromise for c05d5254 // F5
- CVE-2025-53521 Detail // NIST NVD
- Critical RCE Vulnerability in F5 BIG-IP Under Exploitation // NHS England Digital
BI.ZONE EASM помогает работать с критическими уязвимостями системно. Платформа автоматически сопоставляет новые CVE с вашими внешними активами, выявляет уязвимые сервисы, приоритизирует риски с учетом их реальной эксплуатации и позволяет контролировать процесс устранения до полного закрытия. Это сокращает время между публикацией уязвимости и принятием управленческого решения: патчить, ограничивать доступ, изолировать сервис или проводить дополнительную проверку.
Если инцидент подтвержден, команда BI.ZONE DFIR проводит полноценное реагирование, устанавливает механизм компрометации, определяет масштаб атаки и помогает локализовать ее последствия.