Krytyczne CVE 2026: dlaczego exploit wyprzedza łatkę
Rok 2026 potwierdza niepokojący trend: podatności są wykorzystywane szybciej, niż producenci wydają poprawki. Co to znaczy dla obrony i jak nadążyć.
Jeśli z krytycznych podatności 2026 roku miałby wynikać jeden wniosek, brzmi on tak: exploit coraz częściej wyprzedza łatkę. To nie jest wrażenie — to mierzalny trend, który zmienia sposób, w jaki trzeba budować obronę.
Exploitacja wyprzedza ujawnienie
Analizy danych z lat 2025–2026 pokazują, że średni czas do wykorzystania podatności stał się ujemny — luki bywają wykorzystywane w atakach jeszcze zanim producent oficjalnie je ujawni i wyda poprawkę. Widzieliśmy to na własne oczy: zero-daye w Ivanti EPMM były atakowane przed publikacją, a krytyczne błędy w Fortinet FortiClient EMS trafiały do CISA KEV jako aktywnie wykorzystywane.
Konsekwencja jest niewygodna: model „załatamy w najbliższym oknie serwisowym” przestaje wystarczać dla systemów wystawionych do internetu.
Urządzenia brzegowe to front
Wzorzec jest wyraźny. Wśród podatności powiązanych z ransomware i oznaczonych w KEV znaczącą część stanowią urządzenia brzegowe — bramy VPN, firewalle i serwery zarządzania od Citrix, Ivanti czy Fortinet. Powód jest prosty: są publicznie osiągalne i mają uprzywilejowany dostęp do reszty sieci. Jedno przejęcie daje atakującemu punkt zaczepienia i most do wnętrza.
To także najczęstsze drzwi wejściowe ataków ransomware — dlatego szybkie łatanie systemów brzegowych opisujemy jako jeden z filarów obrony przed ransomware.
Niski CVSS nie znaczy bezpiecznie
Rok 2026 przyniósł też dobitną lekcję o priorytetyzacji: 0-day w SharePoint miał w CVSS zaledwie 6.5, a i tak trafił do KEV z twardym terminem — bo był aktywnie wykorzystywany. Z drugiej strony luki „robakowe” jak CVE-2026-33827 w Windows TCP/IP pokazują, że niektóre podatności wymagają trybu awaryjnego niezależnie od reszty harmonogramu.
Jak nadążyć — praktyczny proces
- Priorytetyzuj po aktywnej eksploatacji, nie po samym CVSS. Wpnij katalog CISA KEV i ocenę EPSS w swój proces — codzienne porównanie z listą tego, co jest realnie atakowane. Rozwijamy to przy priorytetyzacji podatności.
- Miej pełną inwentaryzację systemów wystawionych do internetu — nie ochronisz tego, o czym nie wiesz.
- Zbuduj ścieżkę awaryjnego łatania dla luk krytycznych — z góry ustaloną, przećwiczoną, z jasną odpowiedzialnością.
- Ogranicz ekspozycję. Interfejsy zarządzania, VPN i portale trzymaj za listami dozwolonych adresów, nie w otwartym internecie.
- Zakładaj kompromitację urządzeń brzegowych, które były wystawione i niezałatane — szukaj IOC, nie tylko łataj.
Trend „exploit przed łatką” nie cofnie się sam. Wygrywają organizacje, które zamieniły łatanie z corocznego projektu w ciągły proces oparty na realnym ryzyku. Jeśli chcesz taki proces ustawić lub sprawdzić swoją ekspozycję, skontaktuj się z nami.
Źródła i dalsza lektura: CISA KEV, FIRST — EPSS, The Hacker News.