Обзор уязвимостей 17 марта 2026: RCE в Wazuh, утечка ключей шифрования ScreenConnect

За 17 марта 2026 года опубликовано 45 новых записей CVE. 19 из них затрагивают корпоративные продукты и среды разработки. Подборку возглавляют две ошибки удалённого выполнения кода (RCE) в SIEM-платформе Wazuh (система управления событиями безопасности) с оценкой 9.1 по CVSS каждая.

ConnectWise раскрыла утечку ключей шифрования в ScreenConnect (CVSS 9.0). Три устройства KVM-over-IP от разных производителей получили CVSS 9.3 за отсутствие ограничения на перебор паролей. Apache Airflow получил четыре ошибки обхода авторизации за один день.

Wazuh (открытый исходный код, более 12 000 звёзд на GitHub) получила два RCE с оценкой 9.1 каждая. CVE-2026-25770 и CVE-2026-25769 затрагивают платформу, применяемую для обнаружения угроз, контроля целостности файлов, реагирования на инциденты и проверки соответствия нормативам. Wazuh обрабатывает данные безопасности с защищаемых узлов. Компрометация сервера Wazuh даёт злоумышленнику возможность подавлять оповещения, подменять правила обнаружения и перемещаться ко всем контролируемым хостам.

У Wazuh есть история критических ошибок. CVE-2025-24016 позволяла выполнить произвольный код на сервере через небезопасную десериализацию (восстановление объекта из потока данных). Команда Akamai SIRT подтвердила в июне 2025, что эту ошибку использовали для размещения вариантов ботнета Mirai. По данным Censys, в интернете было открыто примерно 17 000 серверов Wazuh. Две новые ошибки появились менее чем через год.

ConnectWise раскрыла CVE-2026-3564 (CVSS 9.0) в тот же день. Расширение подписи сертификатов ScreenConnect при определённых условиях включало зашифрованные значения настроек в ответы неаутентифицированным пользователям. ConnectWise исправила ошибку в версии 26.1. Облачные экземпляры обновлены автоматически.

ScreenConnect остаётся одной из самых атакуемых целей среди средств удалённого управления. CVE-2024-1709 (февраль 2024, обход аутентификации) группировки-вымогатели использовали в течение нескольких часов после раскрытия. В мае 2025 ConnectWise раскрыла взлом через CVE-2025-3935 (CVSS 7.2, внедрение кода через ViewState), связанный с государственными хакерами. Три критических ошибки за 14 месяцев.

Три устройства KVM-over-IP от разных производителей получили оценки CVSS 9.3 за одинаковый класс ошибок. Веб-панель не ограничивает число попыток входа. CVE-2026-32292 затрагивает GL-iNet Comet KVM (GL-RM1). CVE-2026-32295 затрагивает JetKVM до версии 0.5.4. CVE-2026-32297 в Angeet ES3 позволяет записывать произвольные файлы без аутентификации. Захваченное KVM-устройство даёт злоумышленнику функциональный аналог физического доступа к консоли сервера.

Atlassian опубликовала ежемесячный бюллетень безопасности 17 марта с 21 ошибкой. Самая заметная, CVE-2026-21570 (CVSS 8.6), даёт аутентифицированному пользователю возможность выполнить произвольный код на сервере Bamboo Data Center/Server. Bamboo обслуживает сборку и развёртывание ПО (CI/CD-конвейер). Сервер Bamboo обычно хранит учётные данные для рабочих сред и хранилищ сборок. Облачные продукты Atlassian не затронуты.

Четыре ошибки в Apache Airflow 3.1.0–3.1.7 раскрыты одновременно. CVE-2026-30911 (CVSS 8.1) открывает обход авторизации на точках управления HiTL (Human-in-the-Loop, шлюз одобрения человеком). HiTL требует согласования перед выполнением критических шагов автоматизированного рабочего процесса. Обход этого шлюза лишает функцию смысла. CVE-2026-28779 (CVSS 7.5) раскрывает маркер сессии через неправильно настроенный путь cookie-файла.

CVE-2026-3888 (CVSS 7.8) позволяет локальному пользователю получить права root (суперпользователь) через snapd на Ubuntu Linux. Snapd работает от имени root и управляет установкой, обновлением и изоляцией пакетов Snap. Предыдущие ошибки повышения привилегий в snapd (CVE-2022-3328 и CVE-2021-44731 от Qualys) затрагивали тот же компонент.

Подборка за 17 марта меньше предыдущих дней (45 против 252 за 16 марта), но непропорционально сконцентрирована на инструментах защиты и управления. Две ошибки удалённого выполнения кода в SIEM-платформе, утечка ключей шифрования в средстве удалённого доступа, ошибка в CI/CD-сервере и обход шлюза одобрения в системе управления рабочими процессами. Инструменты, которые защищают инфраструктуру, сами превращаются в точки входа. Предыдущая ошибка Wazuh (CVE-2025-24016) при 17 000 открытых серверов использовалась для ботнета Mirai. Новую пару ошибок не стоит откладывать.

Администраторам Wazuh следует ограничить доступ к API и панели управления до выяснения статуса исправлений. Локальные экземпляры ScreenConnect нужно обновить до версии 26.1. Партнёрам с истёкшим соглашением на обслуживание потребуется продление. Управляющие интерфейсы KVM-устройств (GL-iNet Comet, JetKVM, Angeet ES3) необходимо изолировать от ненадёжных сетей. JetKVM обновить до 0.5.4. Для Atlassian Bamboo DC/Server установить обновление из мартовского бюллетеня. Apache Airflow 3.1.x обновить и проверить процессы с шлюзами HiTL. На Ubuntu установить обновления безопасности для snapd.

Полный список 45 записей CVE за 17 марта с ссылками на отдельные записи доступен в базе уязвимостей AnonHaven.