Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Amerykańska agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities o dwie istotne podatności: jedną w jądrze Linux oraz drugą w frameworku Androida. Sam fakt dodania do katalogu KEV oznacza, że luki nie są już wyłącznie problemem teoretycznym lub laboratoryjnym, lecz zostały powiązane z rzeczywistą aktywnością ofensywną. Dla zespołów bezpieczeństwa jest to wyraźny sygnał do natychmiastowej priorytetyzacji działań naprawczych, zwłaszcza w środowiskach korzystających z kontenerów, urządzeń mobilnych oraz infrastruktury opartej na Linuxie.
W skrócie
CISA wpisała do katalogu KEV dwie podatności: CVE-2022-0492 oraz CVE-2025-48595. Pierwsza dotyczy jądra Linux i może umożliwiać eskalację uprawnień oraz potencjalną ucieczkę z kontenera na hosta. Druga obejmuje Android Framework i wynika z błędu typu integer overflow, który może prowadzić do wykonania kodu oraz podniesienia uprawnień na podatnym urządzeniu.
W przypadku luki androidowej wskazano oznaki ograniczonego, ukierunkowanego wykorzystania w rzeczywistych atakach. CISA wyznaczyła federalnym agencjom termin usunięcia wskazanych podatności do 5 czerwca 2026 roku.
Kontekst / historia
Katalog Known Exploited Vulnerabilities jest używany przez CISA do wskazywania podatności, które zostały potwierdzone jako aktywnie wykorzystywane. Wpisanie luki do KEV zmienia jej znaczenie operacyjne: organizacje nie powinny traktować jej jako elementu standardowego backlogu, lecz jako zagrożenie wymagające szybkiej reakcji.
CVE-2022-0492 to znana od kilku lat podatność związana z mechanizmem control groups, a dokładniej z funkcją release_agent w cgroups v1. Problem od początku budził duże obawy w środowiskach kontenerowych, gdzie izolacja procesów i zasobów jest podstawą modelu bezpieczeństwa. Z kolei CVE-2025-48595 dotyczy nowszego ekosystemu Androida i obejmuje współczesne wersje systemu, w tym Android 14, 15, 16 oraz Android 16 QPR2, co zwiększa wagę zagrożenia dla urządzeń końcowych i środowisk mobilnych.
Analiza techniczna
CVE-2022-0492 jest podatnością typu improper authentication w jądrze Linux. Problem występuje w cgroups v1, gdzie mechanizm release_agent może zostać wykorzystany do uruchomienia wskazanego programu po zakończeniu procesu w grupie kontrolnej. Jeśli system nie ogranicza poprawnie dostępu do tej funkcji, lokalny atakujący może doprowadzić do eskalacji uprawnień.
W określonych scenariuszach, szczególnie przy błędnej konfiguracji środowiska kontenerowego, luka może zostać wykorzystana do przejścia z kontekstu kontenera do kontekstu hosta i wykonania arbitralnych poleceń z wysokimi uprawnieniami. To przykład podatności, w której mechanizm niskopoziomowej kontroli zasobów staje się wektorem przełamania izolacji.
CVE-2025-48595 dotyczy Android Framework i wiąże się z przepełnieniem całkowitym. Błędy integer overflow są szczególnie niebezpieczne, ponieważ mogą prowadzić do błędnej alokacji pamięci, nieprawidłowej walidacji danych wejściowych lub naruszenia logiki bezpieczeństwa. W praktyce może to umożliwić wykonanie kodu i eskalację uprawnień na urządzeniu.
Istotne jest również to, że producent wskazał oznaki ograniczonego, celowanego wykorzystania tej podatności. Taki model eksploatacji często sugeruje użycie przez wyspecjalizowanych aktorów, działających w kampaniach wymierzonych w konkretne osoby, organizacje lub środowiska o podwyższonej wartości operacyjnej.
Z perspektywy architektury bezpieczeństwa obie luki łączy naruszanie granic zaufania:
- w Linuxie chodzi o granicę między kontenerem a hostem oraz między użytkownikiem lokalnym a uprzywilejowanym kontekstem systemowym,
- w Androidzie chodzi o przejście od ograniczonego kontekstu aplikacji lub komponentu do wyższego poziomu uprawnień systemowych.
To właśnie zdolność do przełamywania takich granic sprawia, że podatności tego typu są szczególnie atrakcyjne dla operatorów exploitów.
Konsekwencje / ryzyko
Ryzyko związane z CVE-2022-0492 jest szczególnie wysokie w środowiskach wykorzystujących kontenery, orkiestrację oraz współdzielone hosty. Skuteczna eksploatacja może umożliwić przejęcie hosta, ruch boczny, dostęp do sekretów, manipulację workloadami oraz trwałe osadzenie się w infrastrukturze. W środowiskach DevOps i chmurowych konsekwencje mogą obejmować również kompromitację pipeline’ów oraz eskalację do poziomu platformy.
W przypadku CVE-2025-48595 ryzyko dotyczy urządzeń mobilnych, które często mają dostęp do poczty, komunikatorów, danych uwierzytelniających i zasobów korporacyjnych. Eksploatacja może prowadzić do zwiększenia uprawnień na urządzeniu, obchodzenia części mechanizmów ochronnych oraz dalszego wykorzystania urządzenia jako punktu wejścia do środowiska organizacji.
Dla firm stosujących model BYOD lub intensywnie korzystających z telefonów służbowych oznacza to konieczność traktowania podatności mobilnych na równi z krytycznymi lukami dotyczącymi stacji roboczych i serwerów. Dodatkowym czynnikiem podnoszącym poziom ryzyka jest potwierdzone aktywne wykorzystanie obu luk, co zwykle skraca czas między ujawnieniem informacji a realnymi próbami wdrożenia exploitów.
Rekomendacje
Organizacje powinny potraktować obie podatności jako priorytetowe i nie ograniczać się wyłącznie do rutynowego cyklu patch management. W pierwszej kolejności należy zidentyfikować podatne systemy: hosty linuxowe korzystające z cgroups v1, platformy kontenerowe oraz urządzenia z podatnymi wersjami Androida.
W odniesieniu do CVE-2022-0492 zalecane jest:
- pilne wdrożenie dostępnych poprawek bezpieczeństwa,
- przegląd konfiguracji kontenerów pod kątem nadmiernych uprawnień,
- ograniczenie użycia uprzywilejowanych kontenerów i zbędnych capabilities,
- weryfikacja, czy środowiska nadal korzystają z cgroups v1,
- monitorowanie anomalii związanych z procesami potomnymi, zmianami w konfiguracji cgroups i próbami uruchamiania nietypowych binariów z kontekstu kontenera.
W odniesieniu do CVE-2025-48595 warto wdrożyć:
- natychmiastowe aktualizacje biuletynów bezpieczeństwa Androida na zarządzanych urządzeniach,
- wymuszenie polityk aktualizacji w systemach MDM lub UEM,
- ograniczenie dostępu urządzeń nieaktualnych do zasobów firmowych,
- monitorowanie sygnałów kompromitacji mobilnej, w tym nietypowej eskalacji uprawnień, zmian ustawień bezpieczeństwa i podejrzanych zachowań aplikacji.
Na poziomie strategicznym warto również:
- powiązać proces zarządzania podatnościami z katalogiem KEV,
- nadawać wpisom KEV wyższy priorytet niż podatnościom ocenianym wyłącznie na podstawie CVSS,
- aktualizować playbooki reagowania o scenariusze kompromitacji hosta kontenerowego i urządzeń mobilnych,
- prowadzić regularne przeglądy ekspozycji infrastruktury na aktywnie eksploatowane luki.
Podsumowanie
Dodanie CVE-2022-0492 i CVE-2025-48595 do katalogu KEV potwierdza, że zarówno infrastruktura linuxowa, jak i ekosystem Androida pozostają atrakcyjnymi celami dla atakujących. Pierwsza z luk jest szczególnie niebezpieczna dla środowisk kontenerowych i może prowadzić do przełamania izolacji między kontenerem a hostem. Druga zwiększa ryzyko przejęcia urządzeń mobilnych poprzez wykonanie kodu i eskalację uprawnień.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: aktywnie wykorzystywane podatności muszą być obsługiwane szybciej niż standardowe zgłoszenia, ponieważ ich obecność w środowisku oznacza realne i bieżące ryzyko operacyjne.