Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
REDCap to popularna platforma webowa wykorzystywana przez uczelnie, szpitale, organizacje badawcze i instytucje naukowe do gromadzenia oraz przetwarzania danych projektowych, klinicznych i administracyjnych. Ze względu na charakter obsługiwanych informacji system ten stanowi atrakcyjny cel dla cyberprzestępców oraz grup prowadzących działania wywiadowcze.
Największy problem polega na tym, że wiele publicznie dostępnych instancji REDCap działa na starszych wersjach oprogramowania. W praktyce oznacza to zwiększoną powierzchnię ataku, wyższe ryzyko wykorzystania znanych luk oraz większe prawdopodobieństwo długotrwałej, trudnej do wykrycia kompromitacji.
W skrócie
Według danych opublikowanych w czerwcu 2026 roku w Internecie widocznych jest około 8,5 tys. instancji REDCap, ale tylko niewielki odsetek korzysta z najnowszego wydania. To istotne, ponieważ starsze wdrożenia tej platformy były wiązane z kampaniami szpiegowskimi wymierzonymi w sektor medyczny, akademicki i badawczy.
- większość publicznie dostępnych serwerów REDCap działa na nieaktualnych wersjach,
- problem dotyczy organizacji przetwarzających dane o wysokiej wrażliwości,
- atakujący mogą wykorzystywać aplikację jako punkt wejścia do dalszej penetracji sieci,
- ryzyko obejmuje zarówno wyciek danych, jak i długotrwałą obecność przeciwnika w środowisku.
Kontekst / historia
REDCap od lat pozostaje ważnym narzędziem dla środowisk naukowych i medycznych. Jego szerokie zastosowanie sprawia jednak, że platforma stała się naturalnym celem dla aktorów zainteresowanych danymi badawczymi, informacjami o użytkownikach oraz zasobami wspierającymi projekty kliniczne i naukowe.
W połowie czerwca 2026 roku opisano kampanię wymierzoną w organizacje medyczne, akademickie i badawcze w Ameryce Północnej, w której infrastruktura REDCap pojawiała się jako element początkowego dostępu. Aktywność przypisywana grupie UNC6508 miała trwać od września 2023 roku i obejmować podmioty związane z badaniami medycznymi, obszarem wojskowym oraz zaawansowanymi projektami naukowymi.
W analizowanych incydentach operatorzy zagrożenia nie ograniczali się do naruszenia pojedynczej aplikacji. Po uzyskaniu dostępu rozwijali operację etapami, wdrażali narzędzia do przechwytywania poświadczeń, a następnie wykorzystywali zdobyte dane do ruchu bocznego i dalszej eksploracji infrastruktury.
Analiza techniczna
Problem bezpieczeństwa REDCap nie wynika wyłącznie z samej ekspozycji usługi do Internetu. Kluczowe znaczenie ma połączenie kilku czynników: dużej liczby dostępnych publicznie instancji, opóźnień w aktualizacjach oraz praktyki utrzymywania starszych wersji równolegle z nowymi wydaniami.
Z perspektywy obrońcy jest to szczególnie niebezpieczne, ponieważ nawet wdrożenie nowszej wersji nie eliminuje ryzyka, jeśli środowisko legacy nadal pozostaje osiągalne sieciowo. Takie pozostałości mogą stanowić łatwiejszy cel niż główna wersja produkcyjna i umożliwiać obejście części współczesnych zabezpieczeń.
Dane telemetryczne wskazywały, że jedynie nieco ponad 1% obserwowanych instancji korzystało z najnowszej wersji, podczas gdy znaczna część wdrożeń nadal działała na wydaniach z linii 16.x. Za najnowszą publicznie identyfikowaną wersję uznawano 17.1.3, co pokazuje skalę opóźnień w procesach utrzymaniowych.
W opisanych kampaniach serwery REDCap miały pełnić rolę początkowego wektora dostępu. Następnie atakujący instalowali narzędzia do kradzieży poświadczeń, utrzymywali obecność przez wiele miesięcy, a w wybranych przypadkach wdrażali dodatkowe backdoory. Taki scenariusz pokazuje, że kompromitacja aplikacji badawczej może stać się początkiem znacznie szerszego naruszenia bezpieczeństwa.
Istotna jest również skala geograficzna zjawiska. Publicznie dostępne instancje REDCap zidentyfikowano w około 100 państwach, przy czym około 40% miało znajdować się w Stanach Zjednoczonych. To potwierdza, że problem ma charakter globalny i dotyczy całego ekosystemu organizacji badawczych oraz medycznych.
Konsekwencje / ryzyko
Dla organizacji korzystających z REDCap podstawowym zagrożeniem jest nieautoryzowany dostęp do danych badawczych, danych osobowych, poświadczeń użytkowników oraz informacji operacyjnych związanych z projektami. W środowiskach medycznych i akademickich mogą to być zasoby szczególnie wrażliwe, których ujawnienie niesie konsekwencje reputacyjne, prawne i regulacyjne.
Ryzyko nie kończy się jednak na wycieku danych z samej aplikacji. Jeśli serwer REDCap jest połączony z innymi segmentami infrastruktury, jego kompromitacja może umożliwić ruch boczny, eskalację uprawnień, utrzymanie trwałości oraz dostęp do systemów niezwiązanych bezpośrednio z badaniami klinicznymi.
Dodatkowym problemem jest długi czas niewykrycia. Kampanie prowadzone przez zaawansowanych aktorów często mają charakter cichy i długofalowy, dlatego pojedyncza nieaktualna instancja wystawiona do Internetu może przez wiele miesięcy pełnić rolę ukrytego punktu wejścia do organizacji.
Rekomendacje
Organizacje utrzymujące REDCap powinny zacząć od pełnej inwentaryzacji wszystkich instancji, w tym środowisk testowych, zapomnianych wdrożeń oraz starszych wersji działających równolegle z nowymi. Kluczowe jest ustalenie, które systemy są publicznie dostępne i jakie wersje faktycznie obsługują ruch użytkowników.
Następnie należy wdrożyć rygorystyczny program aktualizacji oraz wycofywania starszych wydań. Samo uruchomienie nowej wersji obok starej nie rozwiązuje problemu, jeśli komponent legacy nadal pozostaje osiągalny z sieci publicznej.
- przeprowadzić pełny audyt instancji REDCap i ich ekspozycji,
- usunąć lub odizolować starsze wersje oprogramowania,
- ograniczyć publiczny dostęp tylko do niezbędnych usług,
- oddzielić warstwę aplikacyjną od bazy danych i umieścić bazę za zaporą sieciową,
- wdrożyć segmentację sieci dla systemów badawczych i medycznych,
- monitorować logowania administratorów oraz kont uprzywilejowanych,
- analizować anomalie w transferach danych i nietypowe ścieżki dostępu,
- rotować poświadczenia po każdej podejrzanej aktywności i prowadzić działania threat hunting.
Z punktu widzenia zespołów bezpieczeństwa REDCap powinien być traktowany jako aktywo krytyczne. To nie tylko narzędzie pomocnicze dla działów badawczych, ale system, który może stać się bramą do znacznie szerszej kompromitacji środowiska.
Podsumowanie
Skala wykorzystania REDCap, wysoka wartość przetwarzanych danych i widoczne opóźnienia w aktualizacjach tworzą niebezpieczne połączenie. Gdy do tego dochodzi zainteresowanie ze strony zaawansowanych grup szpiegowskich, nawet pozornie rutynowe zaniedbania administracyjne mogą prowadzić do poważnych incydentów bezpieczeństwa.
Dla organizacji korzystających z REDCap priorytetem powinny być inwentaryzacja, aktualizacja, redukcja powierzchni ataku oraz stałe monitorowanie oznak nieautoryzowanej aktywności. W realiach współczesnych zagrożeń bezpieczeństwo takich platform musi być traktowane jako element strategiczny.
Źródła
- SecurityWeek: Majority of Internet-Accessible REDCap Servers Outdated — https://www.securityweek.com/majority-of-internet-accessible-redcap-servers-outdated/
- Google Cloud Blog: Public and Private Medical Community Targeted by China-Nexus Threat Actor Pursuing Artificial Intelligence, Cyber, Medical, and National Defense Research — https://cloud.google.com/blog/topics/threat-intelligence/prc-targets-us-medical-research
- Censys Documentation: Internet Scanning — https://docs.censys.com/docs/internet-scanning