Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) dodała do swojego katalogu znanych wykorzystywanych luk (Known Exploited Vulnerabilities – KEV) krytyczną podatność w oprogramowaniu Microsoft SharePoint. Luka oznaczona jako CVE-2026-58644 umożliwia zdalne wykonanie kodu (RCE), co stanowi poważne zagrożenie dla bezpieczeństwa systemów informatycznych korzystających z tego rozwiązania.
Wpisanie tej podatności do rejestru KEV oznacza, że agencja posiada dowody na aktywne wykorzystywanie luki przez cyberprzestępców w rzeczywistych atakach. Zgodnie z wytycznymi CISA, wszystkie agencje federalne w Stanach Zjednoczonych są zobowiązane do zabezpieczenia swoich systemów przed wskazanym zagrożeniem w określonym terminie. Choć wymogi te dotyczą bezpośrednio sektora rządowego, eksperci ds. cyberbezpieczeństwa zalecają, aby wszystkie organizacje prywatne korzystające z SharePoint również potraktowały to ostrzeżenie jako priorytetowe.
Na czym polega zagrożenie?
Podatność typu Remote Code Execution (RCE) jest jedną z najgroźniejszych kategorii luk w zabezpieczeniach. Pozwala ona nieuprawnionemu użytkownikowi na zdalne uruchomienie dowolnego kodu na serwerze, na którym zainstalowany jest SharePoint. W praktyce oznacza to, że atakujący może przejąć pełną kontrolę nad serwerem, uzyskać dostęp do poufnych danych firmowych, modyfikować zawartość witryn lub wykorzystać zainfekowaną infrastrukturę do dalszych działań wewnątrz sieci organizacji.
Dodanie podatności do katalogu KEV jest sygnałem dla administratorów IT, że ryzyko ataku jest wysokie i realne, a zaniechanie aktualizacji może prowadzić do poważnych incydentów bezpieczeństwa.
Działania naprawcze
Aby zminimalizować ryzyko, administratorzy systemów powinni niezwłocznie sprawdzić wersje oprogramowania SharePoint w swojej infrastrukturze i zainstalować najnowsze poprawki bezpieczeństwa dostarczone przez Microsoft. Producent zazwyczaj udostępnia odpowiednie aktualizacje w ramach cyklicznych wydań lub specjalnych biuletynów bezpieczeństwa, które eliminują błędy prowadzące do zdalnego wykonania kodu.
Warto pamiętać, że w przypadku luk oznaczonych jako aktywnie wykorzystywane, czas reakcji ma kluczowe znaczenie. Cyberprzestępcy często automatyzują proces skanowania sieci w poszukiwaniu niezałatanych serwerów, co sprawia, że każda godzina zwłoki zwiększa prawdopodobieństwo udanego ataku. Regularne monitorowanie komunikatów CISA oraz szybkie wdrażanie poprawek to obecnie najskuteczniejsza metoda ochrony przed tego typu zagrożeniami.

