CVE-2025-5777 - CitrixBleed 2 - попала в каталог CISA KEV 10 июля 2025 года. Due date для федеральных агентств: следующий день, 11 июля. CVSS 9.3 (CRITICAL), три CWE (CWE-125, CWE-908, CWE-457), подтверждённая связь с ransomware-кампаниями, EPSS 0.7145 - top 5% по вероятности эксплуатации. На GitHub к этому моменту уже лежали рабочие PoC от пяти авторов, а в nuclei-templates ProjectDiscovery - готовый YAML для массового сканирования. Между публикацией PoC и появлением эксплойта в наборе атакующего - окно в дни, иногда часы.
Ваш SOC узнал об этом вовремя? Или прочитал в отчёте об инциденте, когда шифровальщик уже доедал бэкапы?
Ниже - конкретный воркфлоу, который я использую для приоритизации патчей на основе CISA KEV и открытых источников threat intelligence. Не абстрактные рассуждения про "риск-ориентированный подход", а последовательность шагов от появления CVE в каталоге до решения "патчим сегодня в 22:00 или ждём плановое окно".
Почему CVSS без KEV и EPSS ломает приоритизацию CVE
По данным IBM X-Force Threat Intelligence Index 2025, среднее время между публикацией CVE и её устранением в организации - 29 месяцев. Два с половиной года. При этом, согласно Mandiant M-Trends 2025, эксплойты остаются доминирующим вектором первичного доступа: 38% расследованных инцидентов начинались с эксплуатации уязвимости - техника Exploit Public-Facing Application (T1190, Initial Access).
Стандартный процесс в большинстве SOC выглядит так: сканер выдаёт отчёт с сотнями CVE, аналитик сортирует по CVSS Base Score, берёт всё с оценкой 9.0+ и отправляет в очередь. Проблема в том, что CVSS описывает теоретическую тяжесть, но игнорирует два вопроса: эксплуатируется ли уязвимость прямо сейчас и какова вероятность эксплуатации в ближайший месяц.
Конкретный пример. CVE-2022-21882 - Win32k Elevation of Privilege. CVSS 7.0 (HIGH), вектор
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H - локальная атака, высокая сложность, нужны начальные привилегии. На первый взгляд - далеко не приоритет. Но EPSS этой CVE - 0.8914, percentile 0.9955, top 1% среди всех CVE в базе. Экстремальная вероятность эксплуатации. Уязвимость в KEV с 4 февраля 2022 года, подтверждённая эксплуатация - с 11 января 2022 (по данным inthewild.io, более 1 615 дней). На GitHub - PoC от sailay1996 с 49 звёздами.Если процесс приоритизации смотрит только на CVSS Base Score, эта CVE стоит в очереди за десятками "критических" 9.8, которые никто не эксплуатирует. А атакующий уже использует её для повышения привилегий через Exploitation for Privilege Escalation (T1068, Privilege Escalation) после первичного доступа.
Каталог Known Exploited Vulnerabilities: структура и критерии
CISA KEV - публичный реестр уязвимостей с подтверждённой эксплуатацией в реальных атаках. Запущен в ноябре 2021 года с 311 записями, к декабрю 2025 года содержал 1 484 записи. В 2025 году добавлено 245 новых - на 20–30% выше среднего за 2023–2024. 304 из 1 484 уязвимостей (20,5%) напрямую связаны с ransomware-кампаниями.
Критерий включения прост и жёсток: уязвимость подтверждённо использована в атаках. Источники - threat intelligence (включая государственные), расследования инцидентов, данные вендоров ИБ, OSINT и анализ malware-кампаний. Не прогноз, не вероятность - факт.
Каждая запись содержит CVE ID, вендор и продукт, описание, дату добавления, требуемое действие и due date для федеральных агентств (FCEB) по директиве BOD 22-01. Директива обязывает FCEB устранять KEV-уязвимости: 14 дней для свежих CVE, до 6 месяцев для исторических.
В 2025 году CISA выпустила BOD 26-04 - директиву, ужесточающую требования для KEV-уязвимостей, которые одновременно internet-facing, automatable и дают атакующему полный контроль. Этим объясняется due date в 1 день для CVE-2025-5777: по данным CISA Vulnrichment (SSVC) эта уязвимость имеет статус Exploitation: active, Automatable: yes, Technical Impact: total. Решение SSVC - Act: патчить немедленно.
По данным Wiz, менее 1% уязвимостей, обнаруживаемых в облачной инфраструктуре, входят в KEV. По данным исследователей EPSS, фокус на 3% уязвимостей с наивысшим EPSS-скорингом перехватывает примерно 80% фактически эксплуатируемых CVE. Объём работ при этом сокращается в 30–40 раз по сравнению с подходом "закрываем всё с CVSS 7.0+".
Для Blue Team за пределами федеральных структур США KEV - не регуляторное требование, но мощный операционный сигнал. Бинарный: либо уязвимость эксплуатируется, либо нет. Третьего не дано.
OSINT-воркфлоу: от KEV-алерта до решения о патче
Nuclei-templates (ProjectDiscovery). Для CVE-2025-5777 существует YAML-шаблон
http/cves/2025/CVE-2025-5777.yaml в официальном репозитории. Любой атакующий может запустить nuclei -t cves/2025/CVE-2025-5777.yaml -l targets.txt и получить список уязвимых хостов. Blue Team использует тот же шаблон для проактивного сканирования периметра. Один инструмент - две стороны баррикады.AlienVault OTX. По CVE-2025-5777 зафиксировано 50 threat-intelligence пульсов с тегом
actively_exploited_kev, обновляемых ежедневно. По CVE-2022-21882 - аналогично 50 пульсов. Интеграция OTX в SIEM через API даёт автоматические IoC-обогащения.Exploit-DB. Запись EDB-52401 для CVE-2025-5777: "Citrix NetScaler ADC/Gateway 14.1 - Memory Disclosure", автор Yesith Alvarez, опубликована 2025-08-11, тип remote, платформа multiple. Если эксплойт попал в Exploit-DB - он зрелый и проверенный.
Decision tree: эксплойт-кит не ждёт - приоритизация по срокам
На основе собранных данных формирую решение:| Условие | Срок устранения | Пример |
|---|---|---|
| KEV + EPSS > 10% + internet-facing + automatable | 24 часа | CVE-2025-5777 |
| KEV + EPSS > 10% + internal only | 48–72 часа | CVE-2022-21882 |
| Нет KEV, CVSS 9.0+ , EPSS > 10% | 7 дней | - |
| Нет KEV, CVSS 9.0+ , EPSS < 1% | Плановый цикл | - |
| Нет KEV, CVSS < 7.0, EPSS < 0.1% | Следующий квартал | - |
Ключевой принцип: KEV перебивает CVSS. Уязвимость со средним CVSS 6.5 в KEV приоритетнее CVE с CVSS 9.8 без KEV и с EPSS ниже 1%. Звучит контринтуитивно, но данные подтверждают - теоретическая критичность и реальная эксплуатация живут в разных вселенных.
Два CVE через конвейер: практический разбор
CVE-2025-5777 - CitrixBleed 2 и путь к ransomware
Уязвимость. Insufficient input validation, приводящая к out-of-bounds read (CWE-125) в Citrix NetScaler ADC и Gateway при конфигурации как Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) или AAA virtual server. Дополнительные CWE: использование неинициализированного ресурса (CWE-908) и неинициализированной переменной (CWE-457).CVSS 4.0: 9.3 (CRITICAL). Вектор
AV:N/AC:L/AT:N/PR:N/UI:N - сетевой доступ, низкая сложность, без аутентификации, без взаимодействия пользователя. Автоматизируемая массовая эксплуатация.SSVC (CISA Vulnrichment): Act. Exploitation: active. Automatable: yes. Technical Impact: total.
Хронология атаки по ATT&CK:
- Reconnaissance - атакующий сканирует IP-диапазоны через Vulnerability Scanning (T1595.002), используя nuclei-шаблон
- Resource Development - получает эксплойт из GitHub или Exploit-DB (T1588.005)
- Initial Access - эксплуатация NetScaler через Exploit Public-Facing Application (T1190)
- Lateral Movement - при получении аутентификационных данных из утечки памяти - Exploitation of Remote Services (T1210)
- Impact - развёртывание ransomware
Вывод для SOC: NetScaler в инфраструктуре - патч в течение 24 часов. Параллельно - сканирование nuclei-шаблоном, мониторинг трафика к NetScaler на аномальные паттерны чтения памяти. Если патч невозможен прямо сейчас - вывести из DMZ и закрыть доступ на уровне firewall до maintenance window.
CVE-2022-21882 - Win32k: CVSS 7.0 опаснее многих 9.8
Уязвимость. Win32k Elevation of Privilege (CWE-787, out-of-bounds write) в Windows 10 (версии 1809, 1909, 20H2, 21H1).По документам - не критично. На практике:
- EPSS 0.8914 - top 1% среди всех CVE
- В KEV с 4 февраля 2022, due date 18 февраля (14 дней)
- Подтверждённая эксплуатация с 11 января 2022 - на 24 дня раньше добавления в KEV
- PoC на GitHub с 49 звёздами
- SSVC: Act, Automatable: no, Technical Impact: total
Чеклист интеграции KEV в SOC-процессы
Готовый список для внедрения. Передайте сисадмину или включите в регламент:- Настроить автоматический pull JSON-каталога KEV раз в 4 часа
- Настроить ежедневный запрос EPSS API для всех CVE из результатов сканера уязвимостей
- Создать в SIEM (Elastic SIEM, MaxPatrol SIEM, KUMA - в зависимости от стека) корреляционное правило: новая CVE в KEV + актив в inventory = критический алерт
- Добавить nuclei-шаблоны из каталога
http/cves/в расписание сканирования периметра - еженедельно или при появлении нового шаблона - Подключить OTX feed для автоматического обогащения IoC по KEV-уязвимостям
- Документировать SLA: KEV + internet-facing = 24 ч, KEV + internal = 72 ч, no KEV + CVSS 9.0+ EPSS > 10% = 7 дней
- Настроить мониторинг GitHub по ключевым CVE из asset inventory - появление нового PoC = пересмотр приоритета
- Включить EPSS percentile в дашборд уязвимостей рядом с CVSS - аналитик должен видеть оба значения при триаже
- Провести ретроспективный аудит: сверить backlog незакрытых CVE с KEV и закрыть пересечения в ближайший maintenance window
- Назначить ответственного за еженедельный обзор KEV-обновлений и EPSS-изменений по CVE из backlog
Ограничения открытых источников и vulnerability intelligence
KEV - сильный инструмент, но с явными границами. И эти границы нужно знать, чтобы не строить иллюзий.Неполнота. 1 484 записи при десятках тысяч новых CVE ежегодно. Уязвимость может эксплуатироваться, но не попасть в каталог - особенно при узкой APT-активности. Согласно Mandiant M-Trends 2025, медианное время нахождения злоумышленника в сети - 11 дней, и за это время CVE может так и не появиться в KEV.
Задержка. CVE-2022-21882 эксплуатировалась с 11 января 2022, в KEV попала 4 февраля - 24 дня разрыва. Для атакующего это вечность. Для защитника - 24 дня слепоты.
US-centric фокус. KEV ориентирован на продукты федеральных агентств США. Уязвимости в решениях, популярных только на российском рынке (1С, отечественные NGFW, средства защиты информации), в каталог не попадут. Тут приходится строить свою разведку.
Нет контекста инфраструктуры. KEV не знает, есть ли уязвимый продукт в вашей среде. Без asset inventory, интегрированного со сканером, KEV - просто список. Полезный, но бесполезный без привязки к активам.
KEV - центральный элемент конвейера, но не единственный. EPSS покрывает горизонт прогнозирования, GitHub и Exploit-DB - доступность эксплойта, Shodan и nuclei - экспозицию периметра, OTX - контекст кампаний.
Разрыв между "знаем об уязвимости" и "закрыли уязвимость" - 29 месяцев в среднем. Половину можно убрать за неделю, подключив KEV и EPSS к процессу триажа. Я работаю с этим конвейером два года и вижу устойчивый паттерн: команды, переключившиеся с "сначала всё с CVSS 9.0+" на "сначала KEV, потом EPSS > 10%, потом остальное", закрывают 80% реально опасных уязвимостей при объёме работы в десять раз меньшем. Не магия - просто перестают тратить ресурсы на теоретические 9.8 без единого PoC на GitHub.
Но главная проблема - не техническая. В большинстве организаций патч-окно по-прежнему раз в квартал. Никакой KEV не заставит бизнес поменять расписание. Зато KEV даёт аргумент для emergency patch window, который IT-директор понимает за пять минут: «CVE в каталоге CISA, связана с ransomware, EPSS в top 5%, публичный эксплойт на GitHub, nuclei-шаблон готов, due date - завтра». С таким набором данных разговор о внеплановом патче занимает не пять недель.
Самое опасное - организации, которые знают о KEV, подписаны на рассылку, но не интегрировали каталог в операционный процесс. Список без действия - просто ещё один непрочитанный алерт в почте. На форуме yg140.servegame.com регулярно разбираем свежие KEV-добавления и OSINT-находки по уязвимостям - если строите подобную приоритизацию в своей команде, подключайтесь к обсуждению.
Последнее редактирование модератором:
