Американское агентство CISA потребовало от федеральных ведомств закрыть уязвимость Cisco до воскресенья, 28 июня 2026 года. Речь о критической проблеме в Cisco Unified Communications Manager Server, которую уже используют в атаках, а для российских ИТ-команд это ещё один неприятный, но знакомый сигнал: если вендор сначала пишет про PoC, а через пару недель появляется реальная эксплуатация, окно на спокойное тестирование патча обычно захлопывается быстрее, чем хотелось бы.
По данным BleepingComputer, в каталог Known Exploited Vulnerabilities (KEV) добавили уязвимость CVE-2026-20230. Это SSRF-дефект в Cisco Unified Communications Manager Server. Cisco выпустила исправление 3 июня и сразу пометила проблему как критическую: баг можно эксплуатировать удалённо, без аутентификации, через специально сформированные HTTP-запросы. На момент релиза патча компания говорила, что proof-of-concept уже существует, но признаков боевой эксплуатации тогда не видела.
Ситуация изменилась за считаные недели. В прошлые выходные стартап Defused, который занимается детектированием атак, заметил попытки эксплуатации CVE-2026-20230 на реальных системах. По их наблюдениям, злоумышленники использовали дыру для записи произвольных текстовых файлов на уязвимые конечные точки. Кто именно стоит за атаками, пока неизвестно. Но даже этого набора фактов достаточно, чтобы история перешла из категории «патчим при первой возможности» в режим «патчим до дедлайна, а лучше раньше».
Для федеральных ведомств США включение в KEV означает не просто рекомендацию, а жёсткий операционный дедлайн. CISA сослалась на директиву BOD 26-04 и установила крайний срок устранения на 28 июня. Формально это требование касается американского госсектора, но рынок давно научился читать такие уведомления без географических иллюзий. Если агентство уровня CISA видит активную эксплуатацию и ставит считаные дни на remediation, значит, владельцам похожих инсталляций вне госсектора лучше не рассуждать о приоритетах, а проверять версии, окна обслуживания и внешнюю доступность сервисов.
В этой истории важен и сам класс проблемы. SSRF давно перестал быть «младшей» веб-уязвимостью, которую удобно обсуждать на митапах и неудобно закладывать в бюджет. Если дефект сидит в инфраструктурном продукте, который отвечает за корпоративные коммуникации, последствия могут выходить далеко за рамки одной веб-ноды. Cisco Unified Communications Manager Server обычно не существует в вакууме: рядом телефония, внутренние приложения, интеграции, сервисные учётки, административные интерфейсы. Поэтому новость про уязвимость Cisco стоит читать не как отдельный багрепорт, а как напоминание о том, что периметр давно проходит не только по VPN и почте, но и по системам, которые многие админы привыкли считать «внутренними и спокойными».
На этом CISA не остановилась и в тот же день добавила в KEV ещё одну уязвимость с тем же дедлайном 28 июня. Это CVE-2026-12569 в продуктах PTC Windchill и FlexPLM. Оба решения относятся к классу PLM-систем и используются в производстве, инженерии, ритейле, обувной и apparel-индустрии, а также в сегменте потребительских товаров. Проблема описана как improper input validation и ведёт к удалённому выполнению кода через десериализацию недоверенных данных. Иными словами, это уже не про неудобный инцидент на периферии, а про возможность полноценного захвата уязвимого сервера.
PTC раскрыла CVE-2026-12569 18 июня и выпустила advisory со списком затронутых версий. По данным вендора, под ударом находятся все версии до 11.0 включительно, а также несколько веток 11.1, 11.2, 12.0, 12.1 и 13.0. Вендор призвал клиентов немедленно заняться устранением проблемы. CISA, в свою очередь, не стала растягивать бюрократию и поставила тот же срок, что и по Cisco. В сухом остатке получаем знакомую картину: сначала раскрытие, затем advisory, потом подтверждение риска и короткий дедлайн на исправление. Только теперь это происходит почти конвейерно, и для компаний с длинным циклом change management такой ритм особенно болезненный.
Для российских команд тут есть как минимум три практических вывода. Первый: наличие патча ещё не означает, что у вас есть время. У Cisco между выпуском исправления 3 июня и жёстким дедлайном CISA 28 июня прошло меньше месяца, а активная эксплуатация всплыла уже после первоначального релиза. Второй: PoC в 2026 году всё чаще означает не теоретическую демонстрацию, а короткий пролог перед атаками в продакшене. Третий: инвентаризация инфраструктурных систем по-прежнему недооценена. Пока бизнес спорит о защите облаков и рабочих станций, реальный риск может сидеть в коммуникационной платформе или PLM-системе, которую патчат по остаточному принципу, потому что «главное, чтобы не трогать работающий контур».
Отдельный вопрос — как такие новости меняют поведение рынка. Для крупных организаций это ещё один аргумент в пользу более жёсткой модели управления внешне доступными системами: меньше исключений, меньше долгих согласований, больше автоматизации по проверке версий и комплаенсу патчей. Для вендоров — неприятное напоминание, что фраза «на момент публикации активная эксплуатация не обнаружена» живёт всё меньше. А для команд безопасности это сигнал смотреть не только на CVSS и формулировки advisory, но и на то, насколько продукт встроен в критичные бизнес-процессы. Потому что в 2026 году главная роскошь в управлении уязвимостями — уже не идеальная приоритизация, а способность закрывать очевидно опасные дыры до того, как их начнут массово отрабатывать вживую.
The post CISA дала Cisco и PTC срок до 28 июня на закрытие эксплуатируемых дыр appeared first on iTech News.