Wojciech Ciemski, Autor w serwisie Security Bez Tabu - Strona 315 z 331

Autor: Wojciech Ciemski

CISA ostrzega: krytyczna luka w LanScope Endpoint Manager aktywnie wykorzystywana (CVE-2025-61932)

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) nowy wpis dotyczący LanScope Endpoint Manager (on-premises) firmy MOTEX. Luka CVE-2025-61932 umożliwia zdalne wykonanie kodu (RCE) na stacjach końcowych poprzez „nieprawidłową weryfikację źródła kanału komunikacyjnego” (CWE-940). Producent potwierdził, że w środowiskach klientów odnotowano już nieautoryzowane pakiety z zewnątrz, co wskazuje na realne próby nadużycia.

W skrócie

  • ID luki: CVE-2025-61932; CVSS 4.0: 9.3, CVSS 3.0: 9.8 (krytyczna).
  • Dotyczy: LanScope Endpoint Manager On-Premises – komponenty Client (MR) i Detection Agent (DA); wersje 9.4.7.1 i wcześniejsze. Wersja chmurowa nie jest podatna.
  • Status: luka aktywnie wykorzystywana; wpis w CISA KEV (obowiązek szybkiej remediacji dla agencji federalnych USA).
  • Producent udostępnił poprawki; aktualizacja wymagana na klientach/agentach, bez konieczności podnoszenia wersji „managera”.
  • Termin dla FCEB (USA): rekomendowana data remediacji 12 listopada 2025 r. (wg doniesień prasowych).

Kontekst / historia / powiązania

LanScope (MOTEX, spółka z grupy Kyocera) jest szeroko wykorzystywany do inwentaryzacji i nadzoru stacji w regionie APAC, zwłaszcza w Japonii. JVN/JPCERT opublikowały notę o podatności tego samego dnia, co producent, potwierdzając wczesne sygnały ataków w środowiskach krajowych. Wcześniejsze lata notowały słabsze wagi podatności w produktach MOTEX, ale CVE-2025-61932 to pełnoprawny RCE bez uwierzytelnienia – krytyczny scenariusz podobny do wielu ostatnich fal masowych exploitów w oprogramowaniu do zarządzania stacjami.

Analiza techniczna / szczegóły luki

  • Klasa błędu: Improper Verification of Source of a Communication Channel (CWE-940). Mechanizm komunikacji przyjmuje pakiety z niezweryfikowanego źródła jako zaufane, co umożliwia atakującemu przesłanie specjalnie przygotowanych pakietów skutkujących wykonaniem dowolnego kodu.
  • Wektory ataku: sieć (AV:N), niska złożoność (AC:L), brak wymagań dot. uprawnień (PR:N) i interakcji użytkownika (UI:N) – zgodnie z ocenami CVSS 3.0/4.0. To oznacza, że eksploatacja jest możliwa zdalnie i masowo.
  • Zakres komponentów: wyłącznie Client (MR) i Detection Agent (DA) po stronie endpointów; instancja „managera” nie wymaga aktualizacji.

Praktyczne konsekwencje / ryzyko

  • Przejęcie stacji końcowych: zdalne RCE na hostach z agentem umożliwia instalację backdoorów, eskalację uprawnień lokalnych, ruch boczny i kradzież danych.
  • Skala zagrożenia: CISA klasyfikuje CVE jako aktywnie wykorzystywane – organizacje wystawiające agentów lub ich porty na niezaufowane sieci są w strefie najwyższego ryzyka.
  • Rynek/region: media branżowe raportują, że pierwsze przypadki i obserwacje napływają z Japonii (główna baza użytkowników), co zwiększa prawdopodobieństwo szybkiej eskalacji globalnej poprzez skanowanie Internetu.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowa aktualizacja agentów na wszystkich stacjach do jednej z wersji zawierających poprawkę:
    9.3.2.7, 9.3.3.9, 9.4.0.5, 9.4.1.5, 9.4.2.6, 9.4.3.8, 9.4.4.6, 9.4.5.4, 9.4.6.3, 9.4.7.3. (Wersje 9.4.7.1 i starsze są podatne). Nie ma potrzeby aktualizowania „managera”.
  2. Priorytetyzacja floty: zacznij od stacji z dostępem zdalnym/VPN oraz urządzeń w segmentach o podwyższonych uprawnieniach. (dobre praktyki ogólne)
  3. Tymczasowe zabezpieczenia do czasu patchowania:
    • Ogranicz ekspozycję sieciową kanałów komunikacji agentów do zaufowanych podsieci/VPN.
    • Filtruj/monitoruj nietypowy ruch przychodzący do procesów MR/DA oraz wzorce „nietypowych pakietów” wskazywane przez producenta/JVN.
  4. Hunting i detekcja:
    • Szukaj nowych/nieautoryzowanych procesów potomnych agenta, anomalii w narzędziach zdalnego dostępu, zmian w autostarcie i nowych kontach lokalnych. (praktyka oparta na wzorcach RCE)
    • Koreluj alerty z timeline’em od 20 października 2025 r. (data publikacji producenta/JVN).
  5. Zgodność i terminy: jeśli podlegasz wymogom FCEB/KEV – zaplanuj remediację do 12 listopada 2025 r.; dla innych organizacji rekomendowane „ASAP”.
  6. Komunikacja z biznesem: poinformuj właścicieli systemów o ryzyku przerwy w pracy podczas aktualizacji agenta oraz zapewnij okna serwisowe.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W przeciwieństwie do wielu ostatnich podatności w narzędziach EDR/EMM, CVE-2025-61932 uderza w komponenty klienckie, a nie w serwer/manager. To oznacza konieczność szerokiej dystrybucji aktualizacji na końcówkach, co bywa logistycznie trudniejsze, ale jednocześnie ogranicza ryzyko pojedynczego punktu kompromitacji (centralny serwer). Brak wymogu aktualizacji „managera” upraszcza change-management po stronie serwera.

Podsumowanie / kluczowe wnioski

  • Krytyczna luka RCE (CVE-2025-61932) w LanScope Endpoint Manager jest już wykorzystywana – nie czekaj na PoC.
  • Patchuj agentów (MR/DA) do wersji naprawionych – lista powyżej – manager bez zmian.
  • Zredukuj ekspozycję sieciową, wdroż monitoring i polowania na oznaki kompromitacji.
  • Dla podmiotów objętych KEV – deadline 12.11.2025; pozostali: działaj natychmiast.

Źródła / bibliografia

  • BleepingComputer: „CISA warns of Lanscope Endpoint Manager flaw exploited in attacks”. (BleepingComputer)
  • CISA KEV – wpis dla CVE-2025-61932. (cisa.gov)
  • MOTEX (producent) – „[重要なお知らせ]… Remote Code Execution… (CVE-2025-61932)”, 20.10.2025. (motex.co.jp)
  • JVN/JPCERT – „JVN#86318557: Lanscope Endpoint Manager (On-Premises) vulnerable to…”, 20–21.10.2025. (jvn.jp)
  • NVD – rekord CVE-2025-61932 (opis techniczny/CVSS). (NVD)
  • (Kontekst terminów): The Hacker News – „Critical Lanscope Endpoint Manager Bug…”, 23.10.2025. (The Hacker News)

Microsoft wyłącza podgląd w folderze „Pobrane” – nowe zabezpieczenie przed kradzieżą skrótów NTLM

Wprowadzenie do problemu / definicja luki

Microsoft wprowadził zmianę, która automatycznie wyłącza okienko podglądu (Preview Pane) w Eksploratorze plików dla plików pobranych z Internetu i plików oglądanych z udziałów sklasyfikowanych jako Internet Zone. Celem jest zablokowanie kradzieży skrótów NTLM podczas samego zaznaczenia pliku do podglądu – bez otwierania go w aplikacji. Zmiana obowiązuje po instalacji aktualizacji zabezpieczeń z 14 października 2025 r. i nowszych (Windows 11 oraz Windows Server) i jest włączana automatycznie.

W skrócie

  • Co się zmieniło: Eksplorator Windows nie pokaże podglądu plików oznaczonych Mark of the Web (MotW) ani przeglądanych z udziałów w strefie Internet. Zamiast tego zobaczysz komunikat ostrzegawczy.
  • Po co: aby zablokować scenariusze, w których sam podgląd pliku (np. z tagami HTML odwołującymi się do zewnętrznych ścieżek) powodował wysłanie uwierzytelnienia NTLM do serwera atakującego.
  • Kontekst: w 2025 r. udokumentowano aktywnie wykorzystywaną podatność ujawniającą skróty NTLM przy użyciu plików .library-ms rozsyłanych w phishingu.
  • Status: zmiana jest już dystrybuowana w październikowych aktualizacjach, co potwierdził również przegląd branżowy.

Kontekst / historia / powiązania

W pierwszej połowie 2025 r. badacze wskazali, że odpowiednio spreparowane pliki .library-ms mogą wywoływać ujawnienie skrótów NTLM (NTLM hash disclosure) i służyć do relay/brute-force w dalszych etapach ataku. CISA dodała CVE-2025-24054 do katalogu Known Exploited Vulnerabilities, a analizy Check Point opisały aktywne nadużycia od 19 marca 2025 r. w kampaniach phishingowych.

Równolegle Microsoft przyspieszył odchodzenie od NTLM w Windows 11 24H2/Windows Server 2025 (m.in. usunięcie NTLMv1, nowe logowanie audytowe NTLM), jednak pełne wyłączenie NTLMv2 to proces wieloetapowy.

Analiza techniczna / szczegóły luki

  • Vektor ataku: plik oznaczony MotW lub przeglądany z Internet Zone zawiera treści, które w czasie renderowania podglądu (Preview Pane) mogą odwołać się do zasobów zdalnych (np. przez tagi HTML <link>/src> lub podobne mechanizmy w handlerach podglądu).
  • Skutek: system może spróbować uwierzytelnić dostęp do zewnętrznego zasobu przy użyciu NTLM, wysyłając skrót (hash). Napastnik, kontrolując serwer, może przechwycić hash i wykorzystać go w atakach NTLM relay lub do offline cracking.
  • Mitigacja Microsoftu (październik 2025): pełne wyłączenie podglądu dla takich plików – użytkownik widzi komunikat: „The file you are attempting to preview could harm your computer…”. Wyjątki wymagają świadomego odblokowania przez użytkownika/admina.

Ta zmiana minimalizuje interakcję wymaganą od ofiary – wcześniej wystarczało zaznaczenie pliku, teraz podgląd nie zostanie wygenerowany automatycznie.

Praktyczne konsekwencje / ryzyko

  • Użytkownicy końcowi: mniej „cichych” wektorów phishingu – przypadkowe zaznaczenie pliku z poczty/WWW nie wyśle już NTLM.
  • Zespoły IT: możliwe skargi na „brak podglądu” w procesach pracy z pobranymi dokumentami (np. oceną plików). Dla zaufanych źródeł trzeba używać mechanizmu Unblock lub stref Trusted sites/Local intranet – z pełną świadomością, że to obniża poziom ochrony.
  • Zagrożenia, które pozostają: środowiska z włączonym NTLM nadal są podatne na inne kanały wycieku (SMB, WebDAV, Outlook, itp.), stąd potrzeba szerszego hardeningu NTLM i monitoringu.

Rekomendacje operacyjne / co zrobić teraz

  1. Zastosuj październikowe aktualizacje (2025-10-14 i nowsze) na Windows 11/Windows Server. Zmiana włączy się automatycznie.
  2. Zachowaj domyślne wyłączenie podglądu dla plików z MotW/Internet Zone. Nie globalnie odblokowuj, o ile nie jest to absolutnie konieczne.
  3. Jeżeli musisz umożliwić podgląd zaufanych plików:
    • pojedynczy plik: Properties → Unblock (wymaga ponownego logowania, by zadziałało konsekwentnie),
    • udział: dodaj do Trusted sites/Local intranet – pamiętaj, że obniżasz ochronę wszystkich plików z tego udziału.
  4. Ogranicz użycie NTLM w domenie: egzekwuj preferencję Kerberos (Negotiate), wyłącz NTLMv1 (jeśli jeszcze gdzieś żyje), zaplanuj deprecjację NTLMv2 zgodnie ze wskazówkami Microsoft (24H2/Server 2025 wprowadzają audyt ułatwiający inwentaryzację użycia NTLM).
  5. Monitoruj zdarzenia NTLM (Windows 11 24H2 / Server 2025 mają nowe logi: Applications and Services Logs → Microsoft → Windows → NTLM → Operational). Ustal progi alertowania dla nietypowych źródeł/hostów.
  6. Uzupełnij kontrolami towarzyszącymi: ASR/SmartScreen dla MotW, blokady makr, egzekwowanie SMB Signing, segmentacja serwerów, EDR z detekcją NTLM relay. (Wnioski na podstawie kierunku zmian Microsoft i analizy incydentów z CVE-2025-24054).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • W CVE-2025-24054 atak opierał się na plikach .library-ms i mógł zostać zainicjowany już na etapie podglądu/renderowania zasobów; obecna zmiana systemowo ucina ten wektor w Eksploratorze.
  • Wcześniejsze działania Microsoft dotyczyły protokolarnego poziomu NTLM (usuwanie NTLMv1, audyt), natomiast tutaj to zabezpieczenie UX/systemowe w warstwie shell/preview handlers. Razem składają się na obronę w głąb.

Podsumowanie / kluczowe wnioski

Blokada podglądu dla plików z Internetu to prosty, ale skuteczny sposób na wyeliminowanie popularnego wektora kradzieży skrótów NTLM bez zmuszania użytkowników do zmiany nawyków. Dla SOC/IT to dobry moment, by przycisnąć deprecjację NTLM, wdrożyć audyt 24H2/Server 2025 i konsekwentnie redukować wyjątki w Trusted sites.

Źródła / bibliografia

  1. Microsoft Support – File Explorer automatically disables the preview feature for files downloaded from the internet (KB 5070960), 22.10.2025. (Microsoft Support)
  2. BleepingComputer – Microsoft disables File Explorer preview for downloads to block attacks, 23.10.2025. (BleepingComputer)
  3. Check Point Research – CVE-2025-24054: NTLM exploit in the wild, 16.04.2025. (Check Point Research)
  4. CISA – Known Exploited Vulnerabilities Catalog (CVE-2025-24054). (cisa.gov)
  5. Microsoft Support – Overview of NTLM auditing enhancements in Windows 11 24H2 & Windows Server 2025, 11.07.2025; oraz Upcoming changes to NTLMv1…, 29.08.2025. (Microsoft Support)


Jak Wdrożyć Zarządzanie Ryzykiem I Nadzór Zgodnie Z Art. 21 Dyrektywy NIS2

Dlaczego zarządzanie ryzykiem stanowi fundament zgodności z NIS2

Dyrektywa NIS2 (Directive (EU) 2022/2555) nakłada na podmioty z sektorów krytycznych i ważnych obowiązek przyjęcia kompleksowego podejścia do zarządzania ryzykiem cyberbezpieczeństwa. Artykuł 21 tej dyrektywy wymaga wdrożenia adekwatnych i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zabezpieczenia sieci i systemów informatycznych oraz ograniczenia wpływu incydentów.

Czytaj dalej „Jak Wdrożyć Zarządzanie Ryzykiem I Nadzór Zgodnie Z Art. 21 Dyrektywy NIS2”

Star Blizzard (Coldriver) porzuca LOSTKEYS. Nowy łańcuch infekcji z backdoorem MAYBEROBOT i downloaderem NOROBOT

Wprowadzenie do problemu / definicja luki

Rosyjska grupa APT Star Blizzard (aliasy: Coldriver, Seaborgium, Callisto, UNC4057) błyskawicznie zretoolowała arsenał po publicznym ujawnieniu złośliwego oprogramowania LOSTKEYS w maju 2025. Zamiast niego obserwowany jest nowy łańcuch infekcji oparty na downloaderze NOROBOT i finalnym backdoorze MAYBEROBOT (po drodze pojawił się krótkotrwale YESROBOT). Ataki nadal wykorzystują socjotechnikę ClickFix z fałszywą stroną CAPTCHA („I’m not a robot”), ale porzucają wcześniejszy, wieloetapowy łańcuch oparty na PowerShell i LOSTKEYS. Źródła Google Threat Intelligence (GTIG) i relacje branżowe potwierdzają, że od publikacji z maja nie zaobserwowano ponownego użycia LOSTKEYS.

W skrócie

  • Zmiana TTP w 5 dni: Coldriver przestał używać LOSTKEYS w ciągu pięciu dni od publicznej analizy i uruchomił nowe „rodziny” malware.
  • Nowy łańcuch: NOROBOT (pobranie następnego etapu, utrwalenie) → historycznie YESROBOT (Python backdoor) → MAYBEROBOT (lekki, obfuskowany PowerShell backdoor; 3 komendy).
  • Wejście socjotechniczne: nadal ClickFix + fałszywa CAPTCHA, zachęcająca do uruchomienia DLL przez rundll32.
  • Cele: osoby i organizacje „high value” (NGO, doradcy polityczni, kręgi eksperckie i rządowe w państwach zachodnich).
  • Tempo rozwoju: aktywne modyfikacje łańcucha i NOROBOT (rotacja infrastruktury, zmiany nazw plików/eksportów, podział kluczy kryptograficznych).

Kontekst / historia / powiązania

W maju 2025 GTIG opisał LOSTKEYS – kradnący pliki i informacje systemowe komponent Coldrivera, dostarczany m.in. przez mechanizm ClickFix. Po publikacji zespół Google nie rejestrował już użycia LOSTKEYS; w jego miejsce pojawił się zestaw narzędzi „ROBOT” (NOROBOT/YESROBOT/MAYBEROBOT). Temat podjęły m.in. The Record, Dark Reading oraz SecurityWeek, wskazując, że to przykład szybkiego „pivotu” APT po „spaleniu” kampanii.

Analiza techniczna / szczegóły luki

Wejście (socjotechnika): ClickFix + CAPTCHA

  • Strona-lurka podszywa się pod zasób dla środowisk obywatelskich/think tanków. Użytkownik proszony jest o „weryfikację, że nie jest robotem”, co pobiera DLL i instruuje do uruchomienia przez rundll32 (np. artefakty nazw „iamnotarobot.dll”, eksport humanCheck).

Etap 1: NOROBOT (aka BAITSWITCH wg Zscaler)

  • Rola: downloader i przygotowanie środowiska, łączność z hard-coded C2, utrwalenie.
  • Ewolucja: od wersji „głośnych” (instalacja pełnego Python 3.8, zadania harmonogramu, BITS do pobrania modułów .py) do uproszczonych wariantów, a następnie ponownie „utajnionych” przez podział kluczy kryptograficznych i reintrodukcję etapów pośrednich.

Etap 2 (krótkotrwale): YESROBOT (Python backdoor)

  • Minimalny backdoor wykonujący polecenia Python pobierane z C2; wymagał pełnego interpretera, co zwiększało wykrywalność. Zaobserwowany jedynie incydentalnie w maju; szybko porzucony.

Etap 3: MAYBEROBOT (aka SIMPLEFIX) – finalny backdoor

  • PowerShell, ciężko obfuskowany, 3 komendy: pobierz/uruchom z URL, wykonaj polecenie przez cmd.exe, wykonaj blok PowerShell; potwierdzenia i wyniki wysyłane na inne ścieżki C2.
  • Cel: zastąpić YESROBOT czymś lżejszym i bardziej elastycznym, bez potrzeby instalowania Pythona.

Tempo i OPSEC

  • Coldriver rotuje infrastrukturę, modyfikuje nazwy plików/eksportów, ścieżki i konstrukcję URL-i; raz upraszcza, raz komplikuje łańcuch, utrudniając korelację. Od czerwca do września 2025 obserwowano wiele wariantów NOROBOT, natomiast MAYBEROBOT pozostawał stabilny (grupa koncentruje się na ukryciu „wejścia”, mniej na finalnym backdoorze).

Praktyczne konsekwencje / ryzyko

  • User-assisted execution: ataki obchodzą tradycyjne filtry poczty (plik nie zawsze przechodzi przez MTA), a nacisk pada na rundll32 uruchamiany przez użytkownika.
  • Niska sygnaturowość: miks lekko zmienianych łańcuchów, rotacja C2 i kluczy utrudnia IOC-based detection. Preferowane są behawioralne telemetrie EDR/NDR (nietypowe uruchomienia rundll32, BITS, obfuskowany PowerShell, nowe zadania harmonogramu).
  • Targeting: wysoka selektywność odbiorców i serwer-side filtering zmniejszają „szum” i widoczność kampanii w szerokich telemetriach.

Rekomendacje operacyjne / co zrobić teraz

Prewencja i twardnienie stacji

  1. Zablokuj typowy wektor rundll32:
    • AppLocker/WDAC: deny rundll32.exe uruchamianie DLL z obszarów użytkownika (%TEMP%, %APPDATA%, %LOCALAPPDATA%).
    • ASR: reguły ograniczające LOLBin (rundll32, bitsadmin, reg.exe) oraz uruchamianie skryptów PS z pobranych lokalizacji.
  2. PowerShell Constrained Language Mode oraz Script Block/Module Logging + AMSI – rejestrować i blokować obfuskowane bloki.
  3. BITS i Scheduled Tasks: monitoruj tworzenie zadań („System health check”, nietypowe triggery „At logon”) oraz użycie bitsadmin/Start-BitsTransfer.

Detekcja (idee reguł/Sigma)

  • Rundll32 + URL w argumencie / DLL z folderów profilu.
  • Proces łańcuchowy: rundll32.exepowershell.exe / cmd.exe; pythonw.exe pojawiający się pod %APPDATA%\Python38-64\.
  • Rejestr: nietypowe klucze binarne pod HKCU\Software\Classes.* (np. .pietas/ratio).
  • Sieć: anomalia HTTP(S) do świeżych domen, ścieżki ACK/RESULT charakterystyczne dla MAYBEROBOT. (Wskazówki techniczne opisane w raporcie GTIG; Google publikuje IoC/YARA).

IR / łagodzenie skutków

  • Zidentyfikuj hosty z logon scripts ustawionymi przez PS, przeglądnij RecentFileCache.bcf/ShimCache pod kątem „iamnotarobot.dll”.
  • Skoreluj alerty Safe Browsing/Gmail Government-backed attacker alerts (jeśli używacie Google Workspace).
  • Jeśli artefakty Pythona zostały znalezione, przeprowadź triage pamięci, sprawdź harmonogram zadań i usługi użytkownika; odizoluj host, rotuj poświadczenia, przeprowadź TH na luki w dostępie do skrzynek e-mail (możliwy wcześniejszy kompromis phishingowy).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Względem LOSTKEYS (maj 2025): porzucenie długiego łańcucha PS na rzecz DLL+rundll32 i fałszywej CAPTCHA; rotacja do lekkiego backdoora PS.
  • Względem innych rosyjskich APT (np. APT28/NotDoor): różne wektory (Outlook/NotDoor vs. ClickFix/CAPTCHA) i inne docelowe profile ofiar, ale wspólny mianownik to szybka ewolucja TTP i modularność narzędzi. (Wniosek syntetyczny na bazie przeglądu doniesień branżowych.)

Podsumowanie / kluczowe wnioski

  • Coldriver zareagował błyskawicznie: 5 dni po ujawnieniu LOSTKEYS wdrożono nowy łańcuch (NOROBOT → MAYBEROBOT).
  • Socjotechnika jest „kluczem”: fałszywe CAPTCHA skutecznie skłaniają użytkowników do samodzielnego uruchomienia DLL.
  • Detekcja behawioralna > IOC: stale zmieniane artefakty i łańcuchy wymagają skupienia na technikach, nie sygnaturach.
  • Higiena narzędzi w Windows: rundll32/bitsadmin/PowerShell to dziś newralgiczne LOLBiny – ograniczaj, loguj i koreluj.

Źródła / bibliografia

  1. Google Threat Intelligence GroupTo Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER (20 października 2025). Kluczowy raport techniczny z IoC i opisem NOROBOT/YESROBOT/MAYBEROBOT. (Google Cloud)
  2. SecurityWeekRussian APT Switches to New Backdoor After Malware Exposed by Researchers (22 października 2025). Przegląd zmian TTP Star Blizzard po publikacji LOSTKEYS. (SecurityWeek)
  3. The Record (Recorded Future News)Google finds Russian state hackers replacing burned malware with new tools (21 października 2025). Kontekst czasowy (5 dni), nazwy rodzin i agresywność kampanii. (The Record from Recorded Future)
  4. Dark ReadingColdRiver Drops Fresh Malware on Targets (20 października 2025). Analiza trendu „pivotu” APT i opis łańcucha. (Dark Reading)
  5. CSO Online‘I am not a robot’: Russian hackers use fake CAPTCHA lures to deploy espionage tools (22 października 2025). Perspektywa obronna: detekcje behawioralne, ryzyka user-assisted. (CSO Online)

Oracle październik 2025: 374 poprawek, ~170 CVE i kilkaset RCE bez uwierzytelnienia

Wprowadzenie do problemu / definicja luki

Oracle opublikował kwartalny Critical Patch Update (CPU) – październik 2025, dostarczając 374 nowe poprawki bezpieczeństwa dla szerokiego portfolio produktów. W paczce znajdują się dziesiątki podatności zdalnie wykorzystywalnych bez uwierzytelnienia (RCE/unauthenticated), a także luki o krytycznej ważności (CVSS 9.8–10). CPU pojawił się 21 października 2025 r. (Rev 1).

W skrócie

  • 374 poprawek obejmujących m.in. Database, Fusion Middleware/WebLogic, E-Business Suite, MySQL, Java SE, GoldenGate i inne.
  • Około 170 unikalnych CVE; ~40 „krytycznych”; ponad 230 podatności zdalnych bez uwierzytelnienia.
  • CPU ukazał się tuż po awaryjnych łatkach dla Oracle E-Business Suite (CVE-2025-61882), które łatały aktywnie wykorzystywaną lukę RCE.

Kontekst / historia / powiązania

Październikowy CPU domyka cykl aktualizacji 2025. Zgodnie z harmonogramem Oracle, zbiorcze aktualizacje pojawiają się w trzeci wtorek stycznia, kwietnia, lipca i października; edycja październikowa otrzymała oznaczenie Rev 1 z 21 października 2025 r.. Dla klientów E-Business Suite ważne: na kilkanaście dni przed CPU Oracle wydał pilny alert i łatkę dla CVE-2025-61882 (RCE bez uwierzytelnienia), a także publikował kolejne ostrzeżenia w związku z łańcuchami nadużyć wymierzonych w EBS.

Analiza techniczna / szczegóły luki

Z publicznie dostępnych matryc ryzyka i przeglądów wynika, że:

  • Database & ekosystem – łącznie 18 poprawek w obrębie grupy „Oracle Database Products” (w tym m.in. 6 dla Oracle Database, 6 dla GoldenGate, 4 dla Essbase); część błędów możliwa do zdalnej eksploatacji bez logowania.
  • Szeroka skala RCE bez uwierzytelnienia – redakcje i analitycy zliczyli >230 takich przypadków w całym CPU; ~12 luk o wadze „krytycznej”. (Różnice w liczbach wynikają z konsolidacji CVE i poprawek składowych).
  • Korelacja z E-Business SuiteCVE-2025-61882 (HTTP RCE bez auth) była aktywnie wykorzystywana i dostała dedykowany alert/łatkę przed CPU; CPU włącza poprawki wzmacniające zabezpieczenia EBS.
  • Skala CVE – niezależna analiza branżowa podaje ~170 unikalnych CVE w tym CPU oraz ~40 krytycznych poprawek.

Uwaga: Oracle tradycyjnie publikuje matryce ryzyka per produkt. Liczby „unikalnych CVE” vs. „liczba poprawek” różnią się, bo jedna poprawka może adresować kilka CVE lub odwrotnie (ten sam CVE w wielu produktach).

Praktyczne konsekwencje / ryzyko

  • Ataki bez interakcji użytkownika: liczne podatności zdalnie wykorzystywalne bez logowania zwiększają prawdopodobieństwo automatyzowanych skanów/eksploatacji tuż po publikacji PoC.
  • Ryzyko łańcuchowe: komponenty middleware (np. WebLogic/Fusion Middleware) i integracyjne (GoldenGate) często pełnią rolę „mostów” między strefami – pojedyncze RCE może skutkować eskalacją między systemami. (Wniosek na bazie zakresu produktów w CPU).
  • Kontynuowane nadużycia EBS: po CVE-2025-61882 spodziewane są próby „dowiezienia” eksploatacji na systemach niezałatanych.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytetyzacja patchowania (T+0/T+7)
    • T0: systemy internet-facing i strefy DMZ: E-Business Suite, WebLogic/Fusion Middleware, REST Data Services, GoldenGate, Java SE – wszędzie tam, gdzie występują RCE bez auth.
    • T+7: Database/Essbase/MySQL i pozostałe komponenty wewnętrzne, z zachowaniem okien serwisowych.
  2. Backport vs. upgrade – stosuj patch set zgodny z wersją wspieraną przez Oracle (CPU Rev 1), unikaj własnych „hotfixów”. Zweryfikuj matryce ryzyka dla poszczególnych produktów.
  3. Higiena ekspozycji: ogranicz HTTP/HTTPS do niezbędnych ścieżek, wymuś TLS aktualny, rozważ WAF/RASP dla EBS i WebLogic do czasu pełnego wdrożenia łatek. (Wniosek oparty na charakterze RCE bez auth).
  4. Hunting i kontrola kompromitacji: po EBS-RCE (CVE-2025-61882) przeprowadź retrospektywny przegląd logów pod kątem anomalii w ruchu HTTP do komponentu Concurrent Processing oraz nieoczekiwanych zadań/batchy.
  5. Skanowanie zgodności: zsynchronizuj pluginy skanerów (np. Tenable/Nessus) – dostawcy opublikowali już treści wykryciowe dla CPU Oct 2025.
  6. Zarządzanie ryzykiem dostawców: uzyskaj oświadczenia kompatybilności od vendorów integrujących się z Oracle (ESB/ETL/ERP add-ons), zanim wdrożysz łatki w produkcji. (Dobra praktyka przy szerokim CPU).

Różnice / porównania z innymi przypadkami

  • Skala RCE bez auth w tym CPU jest ponadprzeciętna na tle typowych kwartalnych wydań Oracle – SecurityWeek wskazuje >230 takich błędów; Tenable zlicza ~170 CVE ogółem i ~40 krytycznych. (Różne metodologie zliczania).
  • Poprzedzające alerty EBS (CVE-2025-61882) nadają CPU charakter „defense-in-depth” wobec aktywnych kampanii – rzadziej obserwowane w „standardowych” kwartalnych pakietach.

Podsumowanie / kluczowe wnioski

  • Nie odkładaj: priorytetem są systemy wystawione do Internetu i komponenty middleware.
  • CPU Oct 2025 to 374 poprawki, ~170 CVE, ~40 krytycznych, z dużym udziałem RCE bez uwierzytelnieniaokno ryzyka po publikacji PoC może być krótkie.
  • E-Business Suite: sprawdź, czy wdrożono zarówno awaryjną łatkę (CVE-2025-61882), jak i poprawki z CPU.

Źródła / bibliografia

  • Oracle Critical Patch Update Advisory – October 2025 (matryce ryzyka per produkt). (oracle.com)
  • Oracle – Critical Patch Updates, Security Alerts and Bulletins (harmonogram i wersje CPU; Rev 1 z 21.10.2025). (oracle.com)
  • SecurityWeek – Oracle Releases October 2025 Patches (liczby poprawek, RCE bez auth, krytyczne luki). (SecurityWeek)
  • Tenable Research – Oracle October 2025 CPU Addresses ~170 CVEs (liczba CVE i krytycznych). (Tenable®)
  • Oracle Security Alert – CVE-2025-61882 (E-Business Suite, RCE bez auth). (oracle.com)

TARmageddon (CVE-2025-62518) — błąd w popularnych bibliotekach Rust TAR umożliwia RCE i ataki na łańcuch dostaw

Wprowadzenie do problemu / definicja luki

TARmageddon (CVE-2025-62518) to wysoka podatność (CVSS 8.1) w ekosystemie Rust dotycząca parserów archiwów TAR w bibliotekach asynchronicznych: pierwotnie async-tar, a następnie najpopularniejszego forka tokio-tar oraz jego odgałęzień (m.in. astral-tokio-tar). Błąd pozwala na „przemycanie” dodatkowych wpisów archiwum i w konsekwencji na zdalne wykonanie kodu (RCE) poprzez nadpisywanie plików — np. konfiguracji — podczas rozpakowywania. Odkrycia i koordynację ujawnienia przeprowadził zespół Edera.

W skrócie

  • Co: desynchronizacja parsera TAR przy specyficznym zestawie nagłówków PAX/ustar → interpretacja danych wewnętrznego archiwum jako legalnych wpisów zewnętrznego.
  • Wpływ: możliwość nadpisania plików i RCE; ryzyko w łańcuchu dostaw (narzędzia build/test, menedżery pakietów); niepełne skanowanie BOM.
  • Kogo dotyczy: projekty używające tokio-tar i forków, w tym astral-tokio-tar (naprawione w 0.5.6), częściowo narzędzia jak uv (Python) i biblioteki testowe; skala trudna do oszacowania z powodu porzuconych upstreamów.
  • Status: aktywnie utrzymywane forki (Astral) są załatane; oryginalny tokio-tar pozostaje nieutrzymywany. Zalecana migracja/aktualizacja.

Kontekst / historia / powiązania

Genealogia bibliotek wygląda następująco: async-tar → (fork) tokio-tar → (forki) krata-tokio-tar i astral-tokio-tar. Najpopularniejszy fork tokio-tar (miliony pobrań na crates.io) jest de facto abandonware, co utrudniło typowy proces „jednego patcha upstream”. Edera przeprowadziła zdecentralizowane ujawnienie, współpracując bezpośrednio z maintainerami aktywnych forków i wybranymi projektami downstream (m.in. testcontainers, Binstalk, liboxen, wasmCloud).

W praktyce najważniejszy dziś dla użytkowników jest fork astral-tokio-tar, na którym bazuje m.in. superszybki menedżer pakietów Python uv; astral-tokio-tar otrzymał łatkę w wersji 0.5.6 oraz oficjalne advisory.

Analiza techniczna / szczegóły luki

Podatność to błąd logiki w wyznaczaniu granic danych wpisu TAR, ujawniający się przy zagnieżdżonych archiwach i rozbieżnościach między nagłówkiem PAX a ustar:

  1. Wpis ma nagłówki PAX i ustar.
  2. PAX poprawnie podaje rozmiar pliku (np. X bajtów).
  3. ustar błędnie podaje 0 bajtów.
  4. Parser (w podatnych wersjach) przesuwa pozycję strumienia wg ustar (0), ignorując PAX.
  5. Trafia więc natychmiast na początek wewnętrznego archiwum i błędnie interpretuje jego nagłówki jako kolejne wpisy zewnętrznego TAR.

Efekt: „przemycone” wpisy zostają rozpakowane, mogą nadpisać istniejące pliki i uruchomić nieoczekiwane ścieżki wykonania. To nie jest problem pamięciowy (Rust chroni przed UAF/BOF), lecz klasyczny błąd parsowania/protokołu.

Praktyczne konsekwencje / ryzyko

  • RCE przez nadpisanie konfiguracji: np. podmiana plików konfiguracyjnych podczas instalacji/rozpakowywania.
  • Ataki na łańcuch dostaw:
    • Hijacking build backend w ekosystemie Pythona: różny wynik ekstrakcji między instalatorami (uv vs inne) umożliwia wstrzyknięcie lub podmianę plików sterujących budową.
    • Zatrucie warstw obrazów/kontenerów lub środowisk testowych (np. testcontainers) — dołączenie nieprzeskanowanych plików.
  • Omijanie skanerów/BOM: skaner zatwierdza „czyste” zewnętrzne TAR, podczas gdy rozpakowanie przy użyciu podatnej biblioteki wprowadza dodatkowe, niezatwierdzone pliki.

Rekomendacje operacyjne / co zrobić teraz

Deweloperzy i właściciele projektów:

  1. Zidentyfikuj zależności: sprawdź, czy używasz tokio-tar/astral-tokio-tar/async-tar bezpośrednio lub pośrednio.
  2. Aktualizuj do wersji załatanej:
    • astral-tokio-tar≥ 0.5.6 (advisory GHSA-j5gw-2vrg-8fgx).
    • Jeżeli używasz narzędzi opartych o astral-tokio-tar (np. uv), zastosuj wersje usuwające różnice w ekstrakcji i zalecenia z advisory projektu.
  3. Rozważ migrację: jeśli nie możesz szybko załatać, rozważ przejście na standardowy tar crate (sync); w kodzie async owiń operacje w tokio::task::spawn_blocking.
  4. Wprowadź walidacje parsera (jeśli utrzymujesz własny fork):
    • priorytet nagłówków PAX przy ustalaniu rozmiaru,
    • kontrola spójności PAX/ustar,
    • twarde sprawdzanie granic danych.

Środki ograniczające ryzyko (krótkoterminowo):

  • Zliczanie i porównywanie liczby/rozmiarów rozpakowanych plików z oczekiwanym manifestem;
  • Skany post-ekstrakcyjne katalogu docelowego;
  • Rozpakowywanie w piaskownicy z limitami rozmiaru/ilości;
  • Wyłączanie nadpisywania istniejących plików podczas ekstrakcji, o ile to możliwe.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Nie jest to path traversal znany z innych problemów TAR; tutaj chodzi o różnicę w interpretacji nagłówków, która skutkuje „dopisaniem” ukrytych plików do listy wpisów. (Osobne advisories dot. path traversal istnieją w astral-tokio-tar, ale to inny kod/inny wektor).
  • Nie jest to błąd pamięciowy — Rust eliminuje całą klasę takich podatności, lecz błędy logiki w parserach/protokole nadal są możliwe i groźne.

Podsumowanie / kluczowe wnioski

TARmageddon pokazuje, że bezpieczeństwo języka nie zastąpi bezpieczeństwa projektowego. Gdy popularny komponent staje się „porzucony”, ryzyko rozlewa się po całym ekosystemie. Dla zespołów:

  • Inwentaryzacja łańcucha zależności i szybkie aktualizacje to must-have.
  • Defense-in-depth dla operacji ekstrakcji: sandbox, weryfikacja manifestów, zakaz nadpisywania.
  • Polityka dla forków: preferuj aktywnie utrzymywane odgałęzienia z jasnym procesem security.

Źródła / bibliografia

  1. Edera — ogłoszenie podatności TARmageddon (CVE-2025-62518), szczegóły techniczne i timeline, 21 października 2025. (edera.dev)
  2. GitHub Advisory dla astral-tokio-tar (GHSA-j5gw-2vrg-8fgx) — poprawka w 0.5.6. (GitHub)
  3. NVD — wpis CVE-2025-62518 (opis i komponenty). (NVD)
  4. Advisory projektu uv (różnice w ekstrakcji z PAX) — wpływ downstream. (GitHub)
  5. SecurityWeek — przegląd wpływu na ekosystem i status utrzymania forków. (SecurityWeek)

Krytyczne luki załatane w bramkach TP-Link Omada (CVE-2025-6541/6542/7850/7851)

Wprowadzenie do problemu / definicja luki

TP-Link opublikował dwa komunikaty bezpieczeństwa dotyczące bramek Omada (serie ER/G/FR), opisujące łącznie cztery podatności: dwie związane z OS Command Injection (w tym jedna możliwa bez uwierzytelnienia), jedną Command Injection po uwierzytelnieniu admina oraz wektor uzyskania powłoki root przy „ograniczonych warunkach”. Wszystkie błędy mają dostępne poprawki firmware.

W skrócie

  • CVE-2025-6542 (CVSS v4 9.3, krytyczna) – nieautoryzowane zdalne RCE przez wstrzyknięcie poleceń.
  • CVE-2025-6541 (CVSS v4 8.6, wysoka) – RCE po zalogowaniu do panelu www.
  • CVE-2025-7850 (CVSS v4 9.3, krytyczna) – wstrzyknięcie poleceń po uwierzytelnieniu admina.
  • CVE-2025-7851 (CVSS v4 8.7, wysoka) – możliwość uzyskania root shell przy spełnieniu określonych warunków.
  • Dotyczy wielu modeli Omada; TP-Link udostępnił tabelę „Affected/Fixed Version” z konkretnymi buildami firmware.

Kontekst / historia / powiązania

Producent potwierdził podatności 21 października 2025 r. i sukcesywnie publikował wersje naprawcze. Media branżowe (SecurityWeek, BleepingComputer) nagłośniły, że jedna z luk pozwala na zdalną, nieautoryzowaną egzekucję poleceń, co czyni ją atrakcyjną dla botnetów i operatorów kampanii masowych. W NVD pojawiły się wpisy dla nowych CVE (np. CVE-2025-7850).

Analiza techniczna / szczegóły luki

Zakres CVE i wektory:

  • CVE-2025-6542AV:N/AC:L/PR:N/UI:N (CVSS v4), czyli zdalnie, bez autoryzacji, niska złożoność: podatność typu OS Command Injection w interfejsie zarządzania skutkująca wykonaniem dowolnych poleceń OS.
  • CVE-2025-6541 – podobny efekt (RCE), ale wymagane jest zalogowanie do panelu www (PR:H).
  • CVE-2025-7850Command Injection po uwierzytelnieniu admina (CVSS v4 9.3).
  • CVE-2025-7851 – możliwość uzyskania root shell na systemie bazowym „w ograniczonych warunkach” (wysoka).

Modele i wersje (wybór): ER605 ≥ 2.3.1 Build 20251015, ER7206 ≥ 2.2.2 Build 20250724, ER707-M2 ≥ 1.3.1 Build 20251009, ER7412-M2 ≥ 1.1.0 Build 20251015, ER8411 ≥ 1.3.3 Build 20251013, ER7212PC ≥ 2.1.3 Build 20251016, G36 ≥ 1.1.4 Build 20251015, G611 ≥ 1.2.2 Build 20251017, FR205 ≥ 1.0.3 Build 20251016, FR307-M2 ≥ 1.2.5 Build 20251015, FR365 ≥ 1.1.10 Build 20250626. Pełną tabelę „Affected/Fixed” znajdziesz w advisory TP-Link.

Praktyczne konsekwencje / ryzyko

  • Przejęcie urządzenia i sieci: zdalne RCE bez uwierzytelnienia (CVE-2025-6542) ułatwia pełen kompromis bramki i pivot w kierunku zasobów LAN/VLAN.
  • Utrata poufności i integralności: atakujący mogą modyfikować konfigurację routingu/VPN, wstrzykiwać reguły NAT/ACL, tunelować ruch, podsłuchiwać lub przekierowywać sesje.
  • Automatyzacja ataków: realne ryzyko integracji do skanerów/botnetów skanujących Internet pod kątem paneli Omada. Media branżowe wskazują na krytyczność błędów i potencjał nadużyć.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowy update firmware do wersji „Fixed” wymienionych przez TP-Link (patrz tabele w advisory). W środowiskach rozproszonych rozplanuj aktualizacje w oknach serwisowych, zaczynając od urządzeń z ekspozycją internetową.
  2. Odizoluj panel zarządzania (Management VLAN, dostęp wyłącznie z sieci administracyjnej; rozważ ACL/firewall na adres IP kontrolera).
  3. Wyłącz zdalny dostęp z Internetu (HTTPS/HTTP/SSH), jeśli nie jest absolutnie potrzebny; w razie konieczności – VPN + MFA.
  4. Zmień hasła admina po aktualizacji (TP-Link zaleca to wprost przy 7850/7851). Użyj unikalnych, długich haseł i ogranicz liczbę kont uprzywilejowanych.
  5. Monitoring i detekcja:
    • przegląd logów pod kątem nietypowych zmian konfiguracyjnych, restartów, nowych kont/kluczy, nieoczekiwanych procesów;
    • wdroż NDR/IDS przy segmentach za bramką; stwórz reguły na wzorce exploitation (komendy systemowe w parametrach HTTP).
  6. Zarządzanie powierzchnią ataku: publikuj changelog sprzętu, inwentaryzuj dokładne buildy firmware i porównuj z tabelami producenta; automatyzuj sprawdzenia (np. Ansible/SSH + parsowanie wersji).
  7. Plan reakcji: jeśli podejrzewasz kompromis, wykonaj factory reset + reinstall na wersji naprawczej, odtwórz konfigurację ze zweryfikowanego backupu, wymuś rotację haseł i certyfikatów.

Różnice / porównania z innymi przypadkami

W przeszłości obserwowano kampanie masowe wykorzystujące luki RCE w urządzeniach SOHO/SMB TP-Link (dodawane do CISA KEV, wykorzystywane przez botnety). Bieżący zestaw CVE zawiera bez-auth RCE (6542), co plasuje go w grupie najbardziej krytycznych błędów – podobnie jak wcześniejsze incydenty, lecz dotyczy linii Omada używanej często w małych/średnich firmach i sieciach SDN. (Por. relacje prasowe nt. wcześniejszych fal ataków na TP-Link).

Podsumowanie / kluczowe wnioski

  • Krytyczna luka CVE-2025-6542 umożliwia zdalne, nieautoryzowane RCE; pozostałe trzy CVE eskalują skutki po uwierzytelnieniu.
  • Patch now: zaktualizuj ER/G/FR do wersji „Fixed”, ogranicz dostęp do panelu, zmień hasła i monitoruj anomalie.
  • Traktuj urządzenia brzegowe jak krytyczne elementy SOC: telemetria, segmentacja, minimalny dostęp i szybkie cykle łatania.

Źródła / bibliografia

  • TP-Link Omada: Statement on OS command injection vulnerabilities (CVE-2025-6541/6542), 21.10.2025. (Omada Networks Support)
  • TP-Link Omada: Statement on command injection and root access vulnerabilities (CVE-2025-7850/7851), 21.10.2025. (Omada Networks Support)
  • SecurityWeek: Critical Vulnerabilities Patched in TP-Link’s Omada Gateways, 22.10.2025. (SecurityWeek)
  • BleepingComputer: TP-Link warns of critical command injection flaw in Omada gateways, 22.10.2025. (BleepingComputer)
  • NVD: CVE-2025-7850 – szczegóły i metryka CVSS v4.0, 20–22.10.2025. (NVD)