Березень 2026 року продемонстрував безпрецедентну швидкість переходу від публікації вразливостей (CVE) до їх активної експлуатації в дикій природі. Зловмисники створюють робочі експлойты за лічені години, а інфраструктура штучного інтелекту та ланцюжки постачання програмного забезпечення (Supply Chain) остаточно закріпилися як пріоритетні цілі для APT-угруповань.
Цей огляд створено як навчальний матеріал для фахівців з кібербезпеки (Blue/Red Teams) для розуміння механіки останніх загроз та побудови ефективної стратегії захисту.
🟣 Десеріалізація у Cisco Secure Firewall Management Center (FMC)
▶ CVE-2026-20131 | CVSS:4.0 — 10.0 CRITICAL
Опис вразливості: Критична помилка небезпечної десеріалізації користувацьких Java-об’єктів у веб-інтерфейсі Cisco FMC — централізованої платформи управління фаєрволами. Зачіпає всі версії FMC (локальні та хмарну SCC). За даними Amazon Threat Intelligence, угруповання вимагачів «Interlock» використовувало цю діру як zero-day понад місяць (з 26 січня) до моменту її офіційного розкриття. CISA включила дану CVE до каталогу KEV.
Механіка експлуатації: Атакувальник надсилає на порт управління спеціально сформований серіалізований Java-об’єкт. Оскільки система десеріалізує об’єкт без перевірки цілісності чи типу, це призводить до віддаленого виконання коду (RCE).
Наслідки:
- Повне захоплення пристрою FMC з правами
root. - Можливість зміни конфігурацій фаєрволів, створення бекдорів та відключення логування.
- Перехоплення та модифікація мережевого трафіку, крадіжка конфіденційної інформації.
Рекомендації щодо захисту:
- Негайне оновлення: Встановити актуальні патчі від Cisco.
- Мережева ізоляція: Інтерфейси управління FMC ніколи не повинні бути доступні з публічного інтернету. Застосовуйте архітектуру Zero Trust.
- Threat Hunting: Проаналізувати логи на предмет нетипових запитів з десеріалізаційними навантаженнями та перевірити індикатори компрометації (IoC).
🟣 RCE без автентифікації в ШІ-платформі Langflow
▶ CVE-2026-33017 | CVSS:4.0 — 9.3 CRITICAL
Опис вразливості:
Langflow — популярний Open Source фреймворк для побудови ШІ-агентів та RAG-конвейєрів. Вразливість полягає у відсутності автентифікації на ендпоінті POST /api/v1/build_public_tmp/{flow_id}/flow. Цей маршрут приймає користувацькі дані з довільним Python-кодом і передає їх у функцію exec() без жодної пісочниці (sandbox).
Механіка експлуатації: Експлойт було зафіксовано вже через 20 годин після публікації бюлетеня, навіть без наявності публічного PoC. Атака виконується одним HTTP POST-запитом із JSON-навантаженням (payload), що містить шкідливий Python-код.
Наслідки:
- Повний контроль над сервером Langflow.
- Витік секретів: крадіжка API-ключів (OpenAI, Anthropic, AWS), SSH-ключів та паролів баз даних із змінних оточення (environment variables).
- Ідеальний вектор для компрометації ланцюжка постачання (Supply Chain Attack) через інтеграцію Langflow у внутрішні корпоративні пайплайни.
Рекомендації щодо захисту:
- Оновити Langflow щонайменше до версії 1.9.0 (версія 1.8.2 залишається вразливою).
- Провести жорсткий аудит змінних оточення та виконати ротацію всіх ключів/паролів.
- Закрити доступ до Langflow за допомогою WAF або Reverse Proxy з обов’язковою автентифікацією.
🟣 Подвійний Zero-Day у Google Chrome (Skia та V8)
▶ CVE-2026-3909 | CVSS:4.0 — 8.7 HIGH ▶ CVE-2026-3910 | CVSS:4.0 — 8.7 HIGH
Опис вразливостей: Дві критичні помилки, що активно експлуатуються в дикій природі.
- CVE-2026-3909: Запис за межі пам’яті (Out-of-bounds write) у графічній бібліотеці 2D-рендерингу Skia.
- CVE-2026-3910: Помилка “змішення типів” (Type Confusion) у JavaScript/WebAssembly рушії V8 під час оптимізації коду.
Механіка експлуатації: Реалізується через спеціально створені веб-сторінки (Watering hole атаки, Malvertising). V8 неправильно інтерпретує типи даних, дозволяючи зловмиснику виконати код в ізольованому середовищі браузера.
Наслідки:
- Крадіжка файлів cookie та токенів автентифікації з усіх активних вкладок.
- Увага розробникам: Headless-браузери (наприклад, Puppeteer), що використовуються в CI/CD пайплайнах для тестування або генерації PDF, також вразливі і можуть стати точкою входу на сервери розробки.
Рекомендації щодо захисту:
- **Оновити Chrome до версії 146.0.7680.75+.
- Провести інвентаризацію та оновити всі Docker-контейнери, що використовують Chromium/Puppeteer.
🟣 Компрометація ланцюжка постачання Aqua Trivy
▶ CVE-2026-33634 | CVSS:4.0 — 9.4 CRITICAL
Опис вразливості:
19 березня угруповання «TeamPCP» скомпрометувало обліковий запис одного з розробників проєкту Aqua Trivy (популярний сканер вразливостей). Було виконано примусовий push (force-push) шкідливого коду в GitHub Action trivy-action.
Механіка експлуатації: Під час запуску сканування в середовищі CI/CD (наприклад, GitHub Actions), шкідливий код автоматично збирав усі змінні оточення та секрети, відправляючи їх на C2-сервер атакуючих.
Наслідки:
- Масовий витік токенів AWS, GCP, Azure, ключів Kubernetes.
- Можливість публікації шкідливих Docker-образів від імені довірених організацій.
Рекомендації щодо захисту:
- SHA Pinning: Назавжди перейти на використання SHA-хешів замість тегів у GitHub Actions (наприклад,
uses: aqua/trivy-action@<sha-hash>). - Провести аудит пайплайнів, що запускалися після 19 березня.
- Здійснити ротацію всіх токенів, що перебували у скомпрометованому CI/CD середовищі.
🟣 Microsoft Patch Tuesday: Найцікавіші вектори (Березень 2026)
Березневе оновлення виправило 79 вразливостей (8 критичних). Найбільш нестандартні вектори атак:
1. ШІ-ексфільтрація через Copilot Agent
▶ CVE-2026-26144 | CVSS:4.0 — 8.7 HIGH Вразливість XSS у Microsoft Excel. Спеціально сформований файл змушує Microsoft 365 Copilot Agent працювати як канал прихованого витоку даних. Атака автоматизована — жертві достатньо мати увімкнений ШІ-помічник.
2. Outlook Preview Pane RCE (Zero-Click вектор)
▶ CVE-2026-26110 та CVE-2026-26113 | CVSS:4.0 — 8.6 HIGH Виконання коду без взаємодії з користувачем. Жертві не потрібно відкривати файл — достатньо просто виділити лист в Outlook, щоб спрацювала панель попереднього перегляду (Preview Pane) і запустився експлойт.
3. Ескалація привілеїв у SQL Server
▶ CVE-2026-21262 | CVSS:4.0 — 8.7 HIGH
Помилка контролю доступу. Будь-який авторизований користувач бази даних з мінімальними правами може непомітно підвищити свої привілеї до sysadmin через спеціальні мережеві SQL-запити.
Порада для Blue Team: Розгляньте можливість примусового відключення Preview Pane в Outlook для корпоративних користувачів та впровадьте суворі DLP-політики для моніторингу вихідних з’єднань від процесів Office.
🟣 Інші критичні інциденти інфраструктури
Android: Zero-Day у компоненті дисплея Qualcomm
▶ CVE-2026-21385 | CVSS:4.0 — 8.5 HIGH Пошкодження пам’яті в Adreno GPU. Дозволяє локальному додатку з низькими привілеями вийти з пісочниці та отримати підвищені права у системі. Фіксується обмежена цільова експлуатація (Targeted Attacks).
Nginx UI: Вивантаження бекапів без автентифікації
▶ CVE-2026-27944 | CVSS:4.0 — 9.3 CRITICAL
Ендпоінт /api/backup у веб-інтерфейсі Nginx UI виявився повністю відкритим. Ба більше, ключ шифрування AES-256 передавався прямо в HTTP-заголовку X-Backup-Security. Результат: миттєвий витік SSL-сертифікатів та конфігурацій reverse-proxy.
Grafana: RCE через SQL-вирази
▶ CVE-2026-27876 | CVSS:4.0 — 9.1 CRITICAL
Якщо в Grafana увімкнено перемикач sqlExpressions, користувач з правами “Viewer” (Перегляд) може записувати довільні файли на диск (Arbitrary File Write). Вектор атаки полягає у додаванні свого SSH-ключа у файл authorized_keys.
GNU InetUtils telnetd: Привіт з 90-х
▶ CVE-2026-32746 | CVSS:4.0 — 9.8 CRITICAL
Переповнення стекового буфера в обробнику опцій LINEMODE (Telnet). Атака відбувається на етапі початкового рукостискання (до запиту логіна/пароля). Під загрозою не лише старі Linux-системи, а й сучасне обладнання від Citrix (NetScaler), FreeBSD та промислові (ICS/SCADA) системи.
💡 Резюме
Еволюція кібератак у березні 2026 року чітко показує: інтеграція ШІ у бізнес-процеси (як-от Copilot чи Langflow) розширює поверхню атаки, а довіра до інструментів безпеки (Trivy) може стати фатальною помилкою. Сучасний пентестинг та архітектура захисту повинні виходити за рамки класичних вразливостей, фокусуючись на перевірці конвеєрів розробки (DevSecOps) та імплементації суворого принципу найменших привілеїв (PoLP).