Krytyczne CVE marca 2026: od deserializacji Cisco do łańcuchów dostaw Trivy
Marzec 2026 roku zaznaczył się przyspieszeniem eksploatacji luk: exploity pojawiają się w ciągu godzin od ujawnienia, celem są platformy AI i łańcuchy dostaw. Przegląd kluczowych CVE z CVSS 8.7+ i potwierdzoną aktywnością w naturze.
Deserializacja w Cisco Secure Firewall Management Center
CVE-2026-20131 (CVSS 10.0 CRITICAL)
Luka w interfejsie webowym Cisco FMC pozwala na deserializację złośliwych obiektów Java bez uwierzytelnienia. Dotyczy wszystkich wersji, w tym chmurowego Cisco Security Cloud Control. Grupa Interlock eksploatowała zero-day od 26 stycznia 2026, CISA dodała do KEV z terminem do 22 marca.
Eksploatacja: Żądanie POST z zserializowanym obiektem prowadzi do RCE z uprawnieniami root.
Konsekwencje:
- Zmiana konfiguracji firewalli.
- Przechwytywanie ruchu i kradzież danych.
- Punkt wejścia dla ransomware.
Mitygacja:
- Zaktualizuj FMC.
- Izoluj interfejs management za Zero Trust.
- Audyt logów na payloady deserializacyjne (IoC od AWS).
RCE w Langflow bez uwierzytelnienia
CVE-2026-33017 (CVSS 9.3 CRITICAL)
Wizualna platforma dla agentów AI (145k+ gwiazd GitHub) jest podatna w endpoint /api/v1/build_public_tmp/{flow_id}/flow. Kod Pythona z JSON payload jest wykonywany przez exec() bez sandboxa. Dotyczy wersji ≤1.8.2. Sysdig odnotowała eksploatację w ciągu 20 godzin od biuletynu 17 marca.
Eksploatacja: Pojedynczy POST ze złośliwym kodem w definicjach node.
Konsekwencje:
- RCE z uprawnieniami procesu.
- Kradzież sekretów (OpenAI API, hasła DB, SSH).
- Atak na zintegrowane potoki ML.
Mitygacja:
- Aktualizacja do 1.9.0+ (1.8.2 podatna według JFrog).
- Rotacja sekretów w env.
- FW/proxy z auth na Langflow.
- Monitorowanie POST do
/api/v1/i ruchu outbound.
Zero-day w Chrome: Skia i V8
CVE-2026-3909 (CVSS 8.7 HIGH) — out-of-bounds write w Skia (rendering 2D).
CVE-2026-3910 (CVSS 8.7 HIGH) — type confusion w V8 (JS/WebAssembly).
Aktywna eksploatacja potwierdzona przez Google 10 marca, CISA KEV z terminem do 27 marca. Trzeci zero-day w Chrome w 2026.
Eksploatacja: Złośliwa strona HTML/JS (watering hole, malvertising).
Konsekwencje:
- Kod w procesie renderer: kradzież cookies, sesji.
- Zagrożenie dla headless Chrome w CI/CD.
- Eskalacja wymaga escape sandbox.
Mitygacja:
- Chrome 146.0.7680.75+.
- Zaktualizuj Chromium-based (Edge, Brave).
- Inwentaryzacja instancji headless.
- Automatyczne aktualizacje.
Kompromitacja łańcucha dostaw Aqua Trivy
CVE-2026-33634 (CVSS 9.4 CRITICAL)
19 marca grupa TeamPCP skompromitowała dev-konto, force-push złośliwych tagów w trivy-action GitHub Action. Zbieranie sekretów z CI/CD (tokens, SSH, creds chmurowe). Dotknięte obrazy Docker i PyPI LiteLLM.
Eksploatacja: Akcja eksfiltruje sekrety środowiskowe podczas uruchomiania.
Konsekwencje:
- Dostęp do creds AWS/GCP/Azure.
- Złośliwe obrazy trivy na Docker Hub.
- Kaskada na biblioteki LLM.
Mitygacja:
- Audyt CI/CD po 19 marca.
- Rotacja wszystkich sekretów.
- Sprawdzenie obrazów trivy.
- SHA-pinning GitHub Actions.
Microsoft Patch Tuesday: AI-XSS i Office RCE
79 CVE, 8 Critical. Kluczowe:
CVE-2026-26144 (CVSS 8.7 HIGH) — XSS w Excel Copilot Agent do cichej eksfiltracji danych.
Eksploatacja: Złośliwy XLSX aktywuje Copilot do wysyłania danych.
CVE-2026-26110/26113 (CVSS 8.6 HIGH) — RCE w Office przez invalid pointer/type confusion.
Nginx UI i inne
Nginx UI: Nieuwierzytelnione pobieranie backupów (potencjał RCE).
Grafana: SQLi → RCE przez wyrażenia SQL.
GNU InetUtils telnetd: Buffer overflow.
Android: Qualcomm zero-day.
Co ważne
- Rekordowa prędkość eksploatacji: 20h dla Langflow bez PoC.
- Łańcuchy dostaw pod atakiem: Trivy, LiteLLM.
- Ataki AI: Langflow exec(), Excel Copilot XSS.
- KEV CISA: Cisco, Chrome, priorytetowe patche.
- Headless Chrome w CI/CD — ukryte zagrożenie.
— Editorial Team
Brak komentarzy.