CISA снова открывает старый шкаф и достаёт скелет SolarWinds. На этот раз — Serv-U, дыра под CVE-2026-28318, denial-of-service, CVSS 7.5. Активная эксплуатация, говорят. Поставили в KEV — их каталог того, что надо чистить срочно.
Смешного мало. SolarWinds — это уже не имя, а диагноз. После Orion любая уязвимость из этого вендора звучит не как «баг», а как обещание. И каждый раз одно и то же: сначала тишина, потом «о, оказывается, это уже используют», потом обновление, потом снова тишина, пока не найдётся следующая.
В чём ирония — мы всё равно продолжим ставить их софт. Потому что альтернативы либо дороже, либо хуже интегрированы в инфраструктуру. Это такой цикл принятия: отрицание, гнев, торг, депрессия, установка патча.
Никаких гарантий, что это последняя дыра. Кибербезопасность — это не пункт назначения, а состояние. Как попытка заделать протечки на лодке, которая уже в море. Но хотя бы KEV каталог помогает не забыть, где очередная дыра.
