CISA dopisuje 4 aktywnie wykorzystywane luki do KEV (12 lutego 2026): ConfigMgr, Notepad++, SolarWinds WHD i Apple dyld

Wprowadzenie do problemu / definicja luki

CISA (amerykańska agencja ds. cyberbezpieczeństwa) regularnie aktualizuje katalog Known Exploited Vulnerabilities (KEV) – listę podatności, dla których istnieją dowody aktywnego wykorzystania w atakach. Dopisanie CVE do KEV to praktyczny sygnał dla zespołów SOC/IT: to nie jest „teoretyczne CVSS” – to jest realny wektor ataku, który już działa w terenie.

12 lutego 2026 CISA dodała do KEV cztery pozycje obejmujące zarówno narzędzia enterprise, jak i komponenty systemowe oraz mechanizmy aktualizacji oprogramowania: Microsoft Configuration Manager, Notepad++ (WinGUp), SolarWinds Web Help Desk oraz Apple dyld.

W skrócie

Nowe wpisy KEV (12.02.2026):

• CVE-2024-43468 – Microsoft Configuration Manager (ConfigMgr): SQL Injection
• CVE-2025-15556 – Notepad++ (WinGUp updater): „download of code without integrity check”
• CVE-2025-40536 – SolarWinds Web Help Desk (WHD): security control bypass
• CVE-2026-20700 – Apple (dyld): memory corruption / multiple buffer overflow

Wspólny mianownik: to podatności, które pasują do krótkich łańcuchów ataku (szybkie wejście → eskalacja wpływu), a przynajmniej jedna z nich (Apple dyld) ma kontekst wysoce ukierunkowanych, „sophisticated” kampanii.

Kontekst / historia / powiązania

KEV jest ściśle powiązany z praktyką zarządzania podatnościami: jeżeli CVE trafia do katalogu, CISA traktuje je jako istotne ryzyko operacyjne i rekomenduje priorytetyzację łatania.

W tej konkretnej paczce widać trzy ważne trendy:

1. Atak na narzędzia administracyjne (ConfigMgr) – przejęcie systemu zarządzania daje efekt domina na setkach/tysiącach endpointów.
2. Supply chain / aktualizatory (Notepad++) – jeżeli łańcuch aktualizacji nie weryfikuje kryptograficznie metadanych/instalatorów, MITM lub przekierowanie ruchu staje się realnym wektorem RCE.
3. Public-facing aplikacje (SolarWinds WHD) – podatność + ekspozycja do internetu + szybka post-eksploatacja, w tym ruch do kompromitacji domeny.

Analiza techniczna / szczegóły luk

CVE-2024-43468 – Microsoft Configuration Manager (SQLi → potencjalnie RCE)

Synacktiv opisał scenariusz, w którym usługa MP_Location przetwarza wejście w sposób umożliwiający nieautoryzowane wstrzyknięcie SQL. Konsekwencją może być wykonywanie dowolnych zapytań w kontekście uprzywilejowanego konta usługi, a w pewnych warunkach także osiągnięcie RCE (np. przez mechanizmy typu xp_cmdshell).
To szczególnie groźne, bo ConfigMgr to „kontroler floty” – kompromitacja punktu zarządzania może przełożyć się na dystrybucję złośliwych pakietów, zmianę konfiguracji i szeroki ruch lateralny.

CVE-2025-15556 – Notepad++ (WinGUp): brak weryfikacji integralności aktualizacji

Opis w NVD jest jednoznaczny: WinGUp w Notepad++ (wersje przed 8.8.9) nie weryfikuje kryptograficznie metadanych/instalatorów aktualizacji, co pozwala napastnikowi, który potrafi przechwycić lub przekierować ruch aktualizatora, doprowadzić do pobrania i uruchomienia kontrolowanego instalatora (RCE z uprawnieniami użytkownika).
To klasyczny wzorzec „update integrity gap”: choćby bez błędu w samym edytorze, mechanizm update może stać się bramą do infekcji.

CVE-2025-40536 – SolarWinds Web Help Desk: obejście mechanizmów bezpieczeństwa + aktywna eksploatacja

NVD klasyfikuje CVE-2025-40536 jako security control bypass pozwalający nieautoryzowanemu atakującemu uzyskać dostęp do funkcji, które powinny być ograniczone.
Microsoft opublikował analizę aktywnej eksploatacji SolarWinds WHD, wskazując, iż ataki obejmują m.in. CVE-2025-40536 i mogą prowadzić do wieloetapowej intruzji aż do kompromitacji domeny.

CVE-2026-20700 – Apple dyld: memory corruption, „extremely sophisticated” ataki

Apple w opisie poprawek wskazuje na błąd memory corruption w komponencie dyld (dynamic linker) oraz fakt, iż firma jest świadoma raportu o wykorzystaniu w „extremely sophisticated attack” przeciwko wybranym celom (wersje iOS sprzed iOS 26).
Z perspektywy obrony to ważne: choćby jeżeli Twoja organizacja nie jest „high value target”, wpis do KEV oznacza, iż exploit jest realny i może się upowszechnić.

Praktyczne konsekwencje / ryzyko

• ConfigMgr (CVE-2024-43468): ryzyko masowej kompromitacji środowiska zarządzanego (dystrybucja software, konfiguracje, compliance) – wysoki wpływ na CIA, szybka eskalacja w domenie.
• Notepad++/WinGUp (CVE-2025-15556): ryzyko infekcji przez kanał aktualizacji (szczególnie w sieciach z proxy/DNS pośredniczącym lub przy atakach na routing), plus „cichy” charakter (RCE jako użytkownik).
• SolarWinds WHD (CVE-2025-40536): ryzyko przejęcia aplikacji wystawionej do internetu i łańcuchów post-eksploatacyjnych, które kończą się na kontrolerach domeny.
• Apple dyld (CVE-2026-20700): ryzyko kompromitacji urządzeń Apple w scenariuszach ukierunkowanych; istotne dla kadry, osób uprzywilejowanych i środowisk BYOD.

Rekomendacje operacyjne / co zrobić teraz

Priorytet 0 (24–48h): ekspozycja + szybkie „stop the bleeding”

1. SolarWinds WHD: jeżeli WHD jest public-facing, potraktuj to jako incident-prone.
   • natychmiastowe patchowanie / aktualizacja do wersji naprawiającej,
   • weryfikacja logów aplikacyjnych i WAF,
   • hunting pod kątem anomalii uwierzytelniania oraz działań administracyjnych bez typowych ścieżek.
2. ConfigMgr: oceń, czy Management Point / role ConfigMgr są osiągalne z segmentów, które nie powinny (a tym bardziej z internetu).
   • segmentacja i ACL,
   • przegląd zmian w pakietach i dystrybucjach,
   • pilne zastosowanie poprawek i walidacja wersji zgodnie z zaleceniami producenta / advisory.

Priorytet 1 (tydzień): higiena aktualizacji i redukcja ryzyka supply chain

3. Notepad++ (WinGUp):
   • aktualizacja co najmniej do wersji, która usuwa problem (NVD wskazuje „prior to 8.8.9” jako podatne),
   • w środowiskach zarządzanych: preferuj centralną dystrybucję instalatorów (SCCM/Intune) zamiast auto-update na stacjach,
   • kontrola TLS/DNS i polityk proxy dla ruchu update.

Priorytet 2 (ciągłe): urządzenia Apple i ochrona VIP

4. Apple dyld (CVE-2026-20700):
   • wymuś aktualizacje OS (MDM),
   • dla kont uprzywilejowanych: ogranicz powierzchnię ataku (Mobile Threat Defense, restrykcje profili),
   • potraktuj to jako sygnał do przeglądu polityk bezpieczeństwa urządzeń mobilnych.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Te cztery CVE dobrze pokazują, iż „aktywnie wykorzystywane” luki nie zawsze są jednego typu:

• SQLi w narzędziu zarządzającym (ConfigMgr) ma efekt „centralnego przełącznika”.
• Brak integralności aktualizacji (Notepad++) to problem procesu i łańcucha dostaw – często niedoszacowany w risk register.
• Bypass kontroli w aplikacji wystawionej do internetu (SolarWinds WHD) to typowy „wejściowy hak” do pełnej intruzji.
• Memory corruption w komponencie systemowym (Apple dyld) to klasa, która często pojawia się w kampaniach premium i dopiero potem „spływa” do szerszego użycia.

Podsumowanie / najważniejsze wnioski

• Dopisanie CVE do CISA KEV to silny sygnał priorytetu: podatności są realnie eksploatowane.
• Największe ryzyko „blast radius” w tej paczce mają: ConfigMgr (centralne zarządzanie) oraz SolarWinds WHD (public-facing + łańcuch do domeny).
• Notepad++/WinGUp przypomina, iż aktualizator bez kryptograficznej weryfikacji jest „gotowym” wektorem ataku.
• Apple dyld wskazuje na aktywne wykorzystanie w atakach ukierunkowanych – aktualizacje urządzeń Apple warto traktować jako element strategii ochrony VIP.

Źródła / bibliografia

1. CISA – wpis KEV (lista 4 CVE, 12.02.2026 – mirror) (Information Security)
2. Synacktiv – ConfigMgr unauthenticated SQL injections (tło techniczne) (Synacktiv)
3. NVD – CVE-2025-15556 (Notepad++/WinGUp) (nvd.nist.gov)
4. Microsoft Security Blog – aktywna eksploatacja SolarWinds WHD (uwzględnia CVE-2025-40536) (Microsoft)
5. Apple Security Content / NVD – CVE-2026-20700 (dyld, exploitation in the wild) (Apple Support)