Wojciech Ciemski, Autor w serwisie Security Bez Tabu - Strona 373 z 487

Autor: Wojciech Ciemski

Krytyczna luka „sandbox escape” w vm2 dla Node.js (CVE-2026-22709) – jak działa i co zrobić natychmiast

Wprowadzenie do problemu / definicja luki

vm2 to popularna biblioteka do uruchamiania niezaufanego JavaScriptu w „piaskownicy” (sandboxie) w środowisku Node.js. Jej typowy cel to umożliwienie wykonywania kodu użytkownika bez dostępu do systemu plików czy API hosta.

W praktyce okazało się, że w vm2 wykryto krytyczną podatność typu sandbox escape oznaczoną jako CVE-2026-22709. Pozwala ona napastnikowi uciec z izolacji i wykonać dowolny kod na hoście (RCE) – czyli dokładnie złamać fundamentalne założenie „bezpiecznej piaskownicy”.

W skrócie

  • Identyfikator: CVE-2026-22709
  • Wektor: obejście mechanizmu sanitizacji callbacków dla Promise.then() / Promise.catch()
  • Skutek: sandbox escape → RCE na hoście
  • Wersje podatne: vm2 przed 3.10.2
  • Naprawa: aktualizacja do ≥ 3.10.2 (w praktyce najlepiej do najnowszej wersji z gałęzi 3.10.x)
  • Ocena ryzyka: CVSS 9.8 (Critical) wg CNA (GitHub)

Kontekst / historia / powiązania

vm2 jest szeroko używane m.in. w platformach SaaS pozwalających użytkownikom uruchamiać własne skrypty, runnerach kodu online czy botach/czatbotach. BleepingComputer podaje skalę użycia rzędu 200k+ projektów na GitHub oraz około ~1 mln pobrań tygodniowo w npm.

Jednocześnie vm2 ma historię kolejnych ucieczek z sandboxa. W 2023 r. głośne były m.in. CVE-2023-29017 oraz CVE-2023-30547 – obie klasy „sandbox escape”.
Według BleepingComputer projekt był nawet wstrzymany w 2023 r. z powodu powtarzających się problemów, a później „wskrzeszony” (powrót rozwoju i wersji 3.10.x).

Analiza techniczna / szczegóły luki

Sedno problemu to niekonsekwentna sanitizacja callbacków przypinanych do obietnic (Promises):

  • vm2 sanitizuje callbacki dla swojej „lokalnej” implementacji obietnic (w uproszczeniu: localPromise.prototype.then),
  • ale nie obejmuje tym samym mechanizmem „globalnych” Promise (tj. globalPromise.prototype.then),
  • a ponieważ wartości zwracane z async funkcji są oparte o globalny Promise, atakujący może doprowadzić do wykonania callbacka w sposób umożliwiający wyrwanie się do kontekstu hosta.

W praktyce publicznie pokazano PoC, w którym poprzez manipulację obsługą błędu i uzyskanie dostępu do konstruktorów (np. Function) da się finalnie doprowadzić do uruchomienia polecenia systemowego na hoście (np. przez child_process).

Status poprawek (ważne operacyjnie):

  • wg maintenera podatność była częściowo zaadresowana w 3.10.1,
  • a 3.10.2 „domknęło” fix tak, aby uniknąć możliwego obejścia.

Praktyczne konsekwencje / ryzyko

Jeśli Twoja aplikacja używa vm2 do uruchamiania jakiegokolwiek kodu pochodzącego od użytkownika lub z nie w pełni zaufanego źródła, konsekwencje mogą obejmować:

  • przejęcie serwera/aplikacji (RCE),
  • kradzież sekretów (zmienne środowiskowe, tokeny CI/CD, klucze API),
  • pivot do sieci wewnętrznej,
  • modyfikację danych i łańcuchy ataków supply chain (np. modyfikacja artefaktów build).

Co istotne: wektor CVSS wskazuje m.in. AV:N oraz brak wymogu uprawnień i interakcji użytkownika (wg CNA/GitHub), co w praktyce oznacza, że scenariusze zdalne są realne w wielu wdrożeniach.

Rekomendacje operacyjne / co zrobić teraz

  1. Zrób szybki inventory zależności
    • Sprawdź, czy vm2 jest zależnością bezpośrednią lub transytywną (np. npm ls vm2, SBOM, skan SCA).
  2. Zaktualizuj vm2 do wersji bezpiecznej
    • Minimum ≥ 3.10.2 (a najlepiej do najnowszej wersji w 3.10.x).
  3. Jeśli nie możesz zaktualizować „tu i teraz” – załóż, że sandbox jest zawodny
    • Uruchamiaj niezaufany kod w oddzielnym procesie/serwisie z twardą izolacją (kontener/VM), bez dostępu do sekretów i z minimalnymi uprawnieniami.
    • Ogranicz egress (firewall), włącz profile typu AppArmor/SELinux/seccomp tam, gdzie to możliwe.
  4. Wdróż detekcję i kontrolę ryzyka
    • Monitoruj anomalie procesów (uruchomienia node, sh, bash, child_process), nietypowe połączenia sieciowe, zmiany plików.
  5. Rozważ alternatywę architektoniczną
    • Jeśli Twoim wymaganiem jest uruchamianie niezaufanego kodu, traktuj vm2 jako element wysokiego ryzyka i preferuj podejścia „defense-in-depth” (izolacja na poziomie OS, osobny worker pool, sandboxing poza jednym procesem Node). Kontekst „wracających ucieczek” w vm2 jest dobrze udokumentowany.

Różnice / porównania z innymi przypadkami

  • CVE-2026-22709 dotyczy wprost Promises i sanitizacji callbacków (then/catch) oraz różnicy między promise „lokalnym” a „globalnym” w kontekście async.
  • Wcześniejsze głośne podatności (np. CVE-2023-29017, CVE-2023-30547) również prowadziły do sandbox escape, ale wynikały z innych mechanizmów (np. obsługa wyjątków / sanitizacja wyjątków).

Wniosek praktyczny: nawet jeśli „załataliście” jedną klasę bypassu, model zagrożeń dla vm2 powinien zakładać kolejne obejścia, dlatego izolacja warstwowa (process/container/VM) jest kluczowa.

Podsumowanie / kluczowe wnioski

  • CVE-2026-22709 to krytyczny sandbox escape w vm2, umożliwiający RCE na hoście.
  • Podatne są wersje przed 3.10.2; fix został domknięty w 3.10.2.
  • Jeśli vm2 obsługuje kod użytkownika lub dane, które mogą zostać „przemycone” do wykonywanego JS, priorytetem jest natychmiastowy upgrade i izolacja defense-in-depth.

Źródła / bibliografia

  1. BleepingComputer – opis podatności, kontekst popularności i historia vm2 (BleepingComputer)
  2. NVD (NIST) – rekord CVE-2026-22709 i opis mechanizmu podatności (NVD)
  3. GitHub Advisory Database – GHSA-99p7-6v5w-7xg8, metryki i techniczne detale/PoC (GitHub)
  4. Semgrep Blog – omówienie ryzyka i rekomendacja aktualizacji do 3.10.2 (semgrep.dev)
  5. Snyk Vulnerability Database – widok wersji i statusu podatności w najnowszych wydaniach (VulnInfo Guide)

Have I Been Pwned: wyciek danych SoundCloud obejmuje 29,8 mln kont – co ujawniono i jak ograniczyć ryzyko

Wprowadzenie do problemu

Do bazy Have I Been Pwned (HIBP) trafił zestaw danych powiązany z SoundCloud, obejmujący informacje o 29,8 mln kont. Kluczowy element tej sprawy nie polega na kradzieży haseł czy danych płatniczych, ale na połączeniu adresów e-mail z danymi, które wcześniej były publiczne w profilach SoundCloud. Taka korelacja (identity resolution) znacząco zwiększa użyteczność danych dla atakujących – bo pozwala łatwiej przejść od anonimowego profilu do konkretnej skrzynki e-mail i prowadzić precyzyjne kampanie socjotechniczne.

W skrócie

  • Skala: 29,8 mln kont (HIBP raportuje ~30 mln unikalnych adresów e-mail).
  • Charakter danych: adresy e-mail + dane z publicznych profili (m.in. nazwa/użytkownik, avatar, statystyki obserwujących/obserwowanych, czasem kraj).
  • SoundCloud: deklaruje, że nie doszło do dostępu do haseł ani danych finansowych, a incydent dotknął ok. 20% użytkowników.
  • Po incydencie: SoundCloud potwierdza atak DDoS oraz zmiany konfiguracyjne, które przełożyły się na problemy z dostępem przez VPN.
  • Dodatkowy wątek: HIBP i media opisują próby wymuszenia oraz późniejsze upublicznienie danych.

Kontekst / historia / powiązania

SoundCloud poinformował o incydencie w grudniu 2025 r., wskazując na nieautoryzowaną aktywność w “ancillary service dashboard” (pomocniczym panelu/usłudze), uruchomienie procedur IR oraz współpracę z zewnętrznymi ekspertami. W komunikacie firma podkreśliła, że zdarzenie zostało opanowane i nie ma trwającego ryzyka dla dostępności czy bezpieczeństwa platformy.

W tym samym okresie użytkownicy raportowali problemy z dostępem przez VPN (błędy 403). SoundCloud wyjaśnia je jako efekt zmian konfiguracyjnych po incydencie, a nie „celowe blokowanie VPN”.

W styczniu 2026 r. SoundCloud opublikował aktualizację, w której odnosi się także do działań grupy podszywającej się pod sprawców: żądania, a także taktyki nękania (m.in. email flooding) wobec użytkowników, pracowników i partnerów.

Analiza techniczna / szczegóły „luki”

Co było celem atakującego?

HIBP opisuje mechanizm jako możliwość zmapowania adresów e-mail do publicznie dostępnych danych profilu SoundCloud dla ok. 20% bazy użytkowników. To istotne rozróżnienie: część pól w profilu (np. nazwa, nick, avatar, statystyki) mogła być widoczna publicznie, ale adres e-mail już nie – a to właśnie e-mail jest kluczowym identyfikatorem do ataków na kanały komunikacji (phishing, reset haseł, spam, BEC-like).

Jakie dane trafiły do obiegu?

Według HIBP zestaw obejmuje:

  • adresy e-mail (ok. 30 mln unikalnych),
  • nazwy/nick (username),
  • avatary,
  • liczby followers/following,
  • czasem kraj użytkownika.

BleepingComputer podaje, że w HIBP incydent figuruje jako obejmujący 29,8 mln kont i wiąże się z „harvestingiem” danych profilu wraz z e-mailami.

Dlaczego „publiczne dane” nadal robią różnicę?

Bo atakujący dostaje gotowy „graf tożsamości”:

  • e-mail → konto SoundCloud → nick/branding twórcy → social proof (followers) → potencjalne inne konta z tym samym nickiem w innych serwisach,
  • możliwość budowy wiarygodnych przynęt phishingowych (np. „naruszenie praw autorskich”, „blokada konta”, „weryfikacja artysty”, „płatności/monetyzacja”),
  • możliwość selekcji celów „wysokiej wartości” (np. duże konta/artyści/marki).

Praktyczne konsekwencje / ryzyko

  1. Phishing i spear-phishing
    Dane profilowe pomagają personalizować wiadomości. Nawet bez hasła atakujący może próbować wyłudzić logowanie (fałszywy panel) lub kod 2FA.
  2. Credential stuffing i przejęcia kont (pośrednio)
    Jeśli ktoś używał tego samego hasła w wielu serwisach, to sam fakt ujawnienia e-maila zwiększa presję: atakujący może testować pary e-mail/hasło z innych wycieków. SoundCloud utrzymuje, że hasła nie zostały pozyskane w tym incydencie, ale to nie eliminuje ryzyka wtórnego.
  3. Doxxing / profilowanie / nękanie
    Powiązanie e-maila z personą twórcy (nick, avatar, kraj) ułatwia łączenie kropek w innych serwisach i eskalację do nękania.
  4. Spam i „account recovery abuse”
    E-mail jest punktem zaczepienia do ataków na skrzynkę (próby resetów w różnych usługach, zalew powiadomieniami, podszycia pod support).

Rekomendacje operacyjne / co zrobić teraz

Jeśli jesteś użytkownikiem SoundCloud

  • Sprawdź swój adres w HIBP i włącz alerty dla e-maila (żeby wiedzieć o kolejnych incydentach).
  • Zmień hasło do SoundCloud (i wszędzie tam, gdzie używałeś podobnego/tego samego), mimo że w tym incydencie nie potwierdzono wycieku haseł.
  • Włącz MFA/2FA, jeśli dostępne – ogranicza skutki wyłudzenia samego hasła.
  • Uważaj na wiadomości „pilne”: blokada konta, naruszenia praw, weryfikacja, prośby o logowanie. W komunikatach SoundCloud podkreśla, że nie będzie prosić o hasło/poświadczenia.
  • Rozważ aliasy e-mail (np. osobny adres do serwisów społecznościowych) i menedżer haseł.

Jeśli odpowiadasz za bezpieczeństwo (organizacja / zespół)

  • Potraktuj to jako case study ryzyka z „systemów pobocznych” (auxiliary/ancillary dashboards):
    • inventory usług wspierających, paneli analitycznych, integracji, narzędzi supportowych,
    • twarde IAM (MFA, zasada najmniejszych uprawnień, recertyfikacje dostępów),
    • monitoring i detekcja anomalii (nietypowe eksporty/lookup, wzorce enumeracji),
    • rate limiting i ochrona przed masowym mapowaniem identyfikatorów,
    • segmentacja i kontrola przepływu danych z systemów pomocniczych do produkcji.
  • Przygotuj komunikację na incydenty wtórne: kampanie phishingowe na pracowników i użytkowników, podszywanie pod support, „email flooding”.

Różnice / porównania z innymi przypadkami

Warto rozróżnić dwa typy zdarzeń:

  • Klasyczny wyciek uwierzytelnień (hasła, hashe, tokeny) → bezpośrednia droga do przejęć kont.
  • Wyciek korelacyjny (e-mail ↔ publiczne dane profilu) → nie daje hasła, ale radykalnie zwiększa skuteczność ataków socjotechnicznych i operacji profilowania.

Incydent SoundCloud (w ujęciu HIBP i komunikatu firmy) wpisuje się przede wszystkim w drugi typ: to „wzbogacenie” danych o brakujący identyfikator kontaktowy.

Podsumowanie / kluczowe wnioski

  • Skala jest duża (29,8 mln kont w HIBP), ale sedno ryzyka leży nie w hasłach, tylko w powiązaniu e-maili z personami i danymi profili.
  • SoundCloud deklaruje brak dostępu do haseł i danych finansowych, a incydent dotyczył pomocniczego panelu/usługi oraz ok. 20% użytkowników.
  • Najbardziej prawdopodobne skutki to phishing, spam, profilowanie i ataki wtórne (credential stuffing na bazie innych wycieków).
  • Najlepsza reakcja użytkownika: sprawdzenie w HIBP, zmiana haseł (szczególnie jeśli były reuse), MFA oraz czujność na komunikację.

Źródła / bibliografia

  • SoundCloud – „Protecting Our Users and Our Service” (komunikat + aktualizacja) (SoundCloud)
  • Have I Been Pwned – wpis o incydencie „SoundCloud” (Have I Been Pwned)
  • BleepingComputer – „Have I Been Pwned: SoundCloud data breach impacts 29.8 million accounts” (BleepingComputer)
  • BleepingComputer – „SoundCloud confirms breach after member data stolen, VPN access disrupted” (BleepingComputer)
  • Help Net Security – „SoundCloud breached, hit by DoS attacks” (Help Net Security)

FG-IR-26-060 / CVE-2026-24858: krytyczne obejście uwierzytelniania FortiCloud SSO w FortiOS, FortiManager i FortiAnalyzer

Wprowadzenie do problemu / definicja luki

Fortinet opublikował advisory PSIRT o numerze FG-IR-26-060 (data publikacji: 27 stycznia 2026) dotyczący krytycznej podatności w mechanizmie FortiCloud Single Sign-On (SSO), umożliwiającej obejście uwierzytelniania administracyjnego w produktach FortiOS, FortiManager oraz FortiAnalyzer.

Podatność ma identyfikator CVE-2026-24858 i jest klasyfikowana jako Authentication Bypass Using an Alternate Path or Channel (CWE-288) — czyli sytuacja, w której produkt „wymaga logowania”, ale istnieje alternatywna ścieżka prowadząca do skutecznego uwierzytelnienia bez prawidłowej weryfikacji.

W skrócie

  • CVE: CVE-2026-24858 (krytyczna; Fortinet/CNA: CVSS 9.8)
  • Dotknięte produkty: FortiOS / FortiManager / FortiAnalyzer (w określonych zakresach wersji) (
  • Warunek ataku: włączone FortiCloud SSO (logowanie admina przez FortiCloud); atakujący musi posiadać konto FortiCloud i zarejestrowane urządzenie
  • Status: obserwowano aktywne wykorzystanie w środowiskach produkcyjnych; Fortinet czasowo ograniczał działanie FortiCloud SSO, a następnie przywrócił je z blokadą logowań z podatnych wersji firmware

Kontekst / historia / powiązania

W grudniu 2025 Fortinet opisywał wcześniejsze problemy związane z omijaniem FortiCloud SSO (m.in. CVE-2025-59718 i CVE-2025-59719). Nowy incydent był początkowo postrzegany jako „powrót” tamtego wektora, jednak Fortinet wskazał przypadki naruszeń na urządzeniach, które były już zaktualizowane zgodnie z wcześniejszym advisory — co zasugerowało istnienie nowej ścieżki ataku (alternate path).

Z perspektywy IR ważna jest też oś czasu działań dostawcy: Fortinet wskazał m.in. blokowanie nadużywanych kont i czasowe wyłączenie FortiCloud SSO po stronie chmury, a następnie przywrócenie usługi z ograniczeniem dla podatnych wersji.

Analiza techniczna / szczegóły luki

Na czym polega problem

Opis CVE sprowadza się do ryzyka naruszenia izolacji między tenantami/klientami w przepływie FortiCloud SSO: atakujący z kontem FortiCloud i zarejestrowanym urządzeniem może w pewnych warunkach zalogować się administracyjnie do urządzeń zarejestrowanych na inne konta, jeśli na tych urządzeniach włączono FortiCloud SSO dla admina.

Co widać w telemetrii

Fortinet opublikował przykładowe wskaźniki i logi, które pomagają odróżnić „normalne” SSO od nadużycia:

  • obserwowane konta użyte do logowań SSO: cloud-noc@mail.io, cloud-init@mail.io
  • przykładowe adresy IP (część ukrywana za Cloudflare): m.in. 104[.]28.244.115, 104[.]28.212.114 oraz dodatkowe IP raportowane przez strony trzecie
  • typowy ciąg zdarzeń po udanym logowaniu: utworzenie lokalnego konta admin (np. audit, backup, itadmin, secadmin, support i inne) jako mechanizm persystencji

Fortinet pokazał również przykład wpisu logu „Admin login successful” z method="sso" oraz kolejny log wskazujący dodanie obiektu w system.admin (tworzenie nowego admina).

Zakres wersji narażonych

W opisie NVD wskazano zakresy wersji, dla których ryzyko dotyczy m.in.:

  • FortiOS: 7.0.0–7.0.18, 7.2.0–7.2.12, 7.4.0–7.4.10, 7.6.0–7.6.5
  • analogicznie dla FortiManager i FortiAnalyzer w odpowiadających gałęziach 7.0/7.2/7.4/7.6

(Uwaga operacyjna: „zakres dotknięty” ≠ „zakres wdrożony w Twojej organizacji”. Jeśli masz mieszane wersje i centralne zarządzanie, traktuj temat jako kampanię obejmującą całą flotę.)

Praktyczne konsekwencje / ryzyko

Skuteczne obejście uwierzytelnienia administracyjnego na urządzeniu brzegowym/zarządzającym oznacza w praktyce „pełne przejęcie”:

  • modyfikacja polityk firewall/VPN, tworzenie tuneli i kont zdalnego dostępu
  • eksfiltracja konfiguracji (często zawierającej informacje o topologii, adresacji, integracjach, kontach i certyfikatach)
  • przygotowanie persystencji (lokalne konta admin) i pivot do sieci wewnętrznej

Dodatkowy wątek: Fortinet podkreślił, że choć obserwowana eksploatacja dotyczyła FortiCloud SSO, to problem klasy „SAML SSO alternate path” może mieć szerszy kontekst w organizacjach, które wdrażają SSO także z innymi dostawcami.

Rekomendacje operacyjne / co zrobić teraz

1) Ogranicz powierzchnię ataku na interfejs zarządzania (natychmiast)

Fortinet rekomenduje twarde ograniczenie dostępu administracyjnego (najlepiej out-of-band; alternatywnie allowlista IP przez local-in policy).

2) Rozważ czasowe wyłączenie FortiCloud SSO dla logowań admina

Jeśli Twoje procesy na to pozwalają, wyłącz „Allow administrative login using FortiCloud SSO” i przejdź na kontrolowane metody dostępu. Fortinet podaje też komendę CLI:
set admin-forticloud-sso-login disable

(W części środowisk Fortinet wdrożył dodatkowo blokowanie logowań SSO z podatnych wersji po stronie chmury — ale to nie zwalnia z higieny zarządzania i kontroli dostępu.)

3) Threat hunting / detekcja

Sprawdź:

  • logowania admin method="sso" i nietypowe ui="sso(...)"
  • wystąpienia kont cloud-init@mail.io / cloud-noc@mail.io (oraz inne nieoczekiwane tożsamości SSO)
  • nowe konta admin o podejrzanych nazwach (lista w sekcji IOC)

4) Jeżeli widzisz IOC — traktuj system jako skompromitowany

Fortinet zaleca m.in.: przywrócenie konfiguracji z „known good”, audyt zmian, rotację haseł/sekretów (w tym integracji LDAP/AD) i pełny przegląd kont administracyjnych.

5) Patch management

Kieruj się zasadą: zaktualizuj do najnowszego dostępnego wydania w danej gałęzi (lub wykonaj upgrade międzygałęziowy zgodny z polityką Twojej organizacji) i monitoruj komunikaty PSIRT/CVE. Zakresy wersji dotkniętych masz w NVD, a status/zmiany mitigacji Fortinet aktualizował w komunikacji PSIRT/blogu.

Różnice / porównania z innymi przypadkami

  • Podobieństwo do CVE-2025-59718/59719 (grudzień 2025): ten sam „obszar funkcjonalny” (FortiCloud SSO) i podobne symptomy (logowanie SSO, tworzenie lokalnych adminów).
  • Różnica kluczowa: według Fortinet/BleepingComputer ataki występowały również tam, gdzie wcześniejsze poprawki były już wdrożone — co wskazuje na inną ścieżkę obejścia (alternate path), a nie prosty „patch bypass” jednego CVE.

Podsumowanie / kluczowe wnioski

  1. CVE-2026-24858 (FG-IR-26-060) to krytyczne obejście uwierzytelniania w przepływie FortiCloud SSO z realnymi przypadkami nadużyć.
  2. Największe ryzyko dotyczy środowisk z włączonym logowaniem administracyjnym przez FortiCloud SSO oraz wystawionym/nieograniczonym dostępem do panelu zarządzania.
  3. Priorytet „tu i teraz”: ograniczenie dostępu admin, monitoring IOC, oraz gotowość do pełnych działań IR (rotacje, rollback konfiguracji) w razie wykrycia śladów ataku.

Źródła / bibliografia

  • Fortinet PSIRT Blog: Analysis of Single Sign-On Abuse on FortiOS (22 stycznia 2026) (fortinet.com)
  • NIST NVD: CVE-2026-24858 (NVD)
  • BleepingComputer: Fortinet blocks exploited FortiCloud SSO zero day until patch is ready (27 stycznia 2026) (BleepingComputer)
  • FortiGuard PSIRT (metadane advisory w wynikach wyszukiwania): FG-IR-26-060 Administrative FortiCloud SSO authentication bypass (fortiguard.fortinet.com)

Microsoft łata aktywnie wykorzystywany 0-day w Office (CVE-2026-21509) – obejście zabezpieczeń OLE/COM i pilne działania dla adminów

Wprowadzenie do problemu / definicja luki

Pod koniec stycznia 2026 Microsoft wydał awaryjne, pozacykliczne poprawki (out-of-band) dla podatności 0-day w Microsoft Office, która – co najważniejsze – była już aktywnie wykorzystywana w atakach. Luka otrzymała identyfikator CVE-2026-21509 i jest klasyfikowana jako Security Feature Bypass: nie chodzi więc o „klasyczne RCE”, ale o ominięcie mechanizmów ochronnych w Office związanych z kontrolkami COM/OLE.

W skrócie

  • CVE: CVE-2026-21509
  • Typ: obejście zabezpieczeń (Security Feature Bypass), powiązane z decyzjami bezpieczeństwa opartymi o niezaufane dane (CWE-807)
  • Wektor CVSS (CNA/Microsoft): 7.8 HIGH, AV:L / UI:R (wymagane działania użytkownika)
  • Warunek ataku: dostarczenie spreparowanego pliku Office i nakłonienie ofiary do otwarcia; Preview Pane nie jest wektorem ataku
  • Zakres: wiele wersji Office (m.in. 2016/2019/LTSC/365); dla części wydań ochrona ma być realizowana „po stronie usługi” i wymaga restartu aplikacji
  • KEV: podatność trafiła do kontekstu Known Exploited Vulnerabilities (KEV); w danych NVD widać m.in. Date Added: 2026-01-26 oraz Due Date: 2026-02-16

Kontekst / historia / powiązania

Ataki na łańcuch „dokument → elementy OLE/COM → uruchomienie niebezpiecznej logiki” to stały motyw kampanii phishingowych i malware’owych. W tym przypadku Microsoft jasno wskazuje, że aktualizacja dotyczy obejścia „OLE mitigations”, czyli mechanizmów ograniczających ryzyko podatnych kontrolek COM/OLE. To ważna wskazówka: nawet jeśli sam błąd nie jest „pełnym RCE”, to może otwierać drogę do kolejnych etapów ataku (np. uruchomienia komponentów, które powinny zostać zablokowane przez polityki/mitigacje).

Analiza techniczna / szczegóły luki

Co wiemy na pewno (z advisory i opisów technicznych)

  • Opis z NVD (na podstawie danych od CNA/Microsoft): „Reliance on untrusted inputs in a security decision in Microsoft Office…” – czyli mechanizm decyzyjny bezpieczeństwa może zostać oszukany przez niezaufane wejście.
  • Microsoft i media branżowe łączą problem bezpośrednio z OLE/COM i mechanizmami ochrony („OLE mitigations”).

Warunki exploitacji

  • Atak lokalny (AV:L) i wymagana interakcja użytkownika (UI:R): typowy scenariusz to phishing / spearphishing z załącznikiem Office lub plikiem pobieranym z internetu, który użytkownik otwiera.
  • Microsoft podkreśla, że Preview Pane nie jest wektorem, ale otwarcie pliku przez użytkownika już tak.

Mitigacja „kill bit” (COM Compatibility)

W materiałach opisano obejście zmniejszające ryzyko (szczególnie gdy łatka nie jest jeszcze dostępna dla danej edycji): w rejestrze Windows, w gałęzi COM Compatibility, tworzy się klucz dla konkretnego CLSID i ustawia wartość Compatibility Flags = 0x400. To podejście przypomina klasyczne „kill bity” blokujące problematyczne komponenty COM/ActiveX.

Praktyczne konsekwencje / ryzyko

  1. Realne ryzyko operacyjne: aktywne wykorzystanie „in-the-wild” oznacza, że kampanie już trwają, a PoC nie jest konieczny, by zobaczyć skutki w organizacji.
  2. Bypass zabezpieczeń to często początek łańcucha: ominięcie mitigacji OLE/COM może zwiększyć skuteczność ataków dokumentowych i obniżyć próg wejścia dla kolejnych technik (np. uruchomienia komponentu, który miał być zablokowany).
  3. Presja czasowa dla organizacji: NVD wskazuje, że CVE jest powiązane z KEV i ma datę „due date” 16 lutego 2026 (co praktycznie wymusza szybkie domknięcie tematu w patch management).

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „od najpilniejszych” – tak, żeby dało się je wdrożyć nawet w dużym środowisku:

1) Zweryfikuj, które edycje Office są w użyciu

  • Zidentyfikuj: Office 2016, Office 2019, LTSC 2021/2024, Microsoft 365 Apps – podatność dotyczy wielu linii produktowych.

2) Wymuś aktualizacje / restart aplikacji Office

  • Dla części wersji (Office 2021 i nowsze / M365) Microsoft wskazuje ochronę przez service-side change, ale z warunkiem: użytkownicy muszą zrestartować aplikacje Office, aby mechanizm zaczął działać. W praktyce: komunikat do użytkowników + wymuszenie restartu (np. po logoffie, przez narzędzia EDR/ITSM).

3) Jeśli łatka nie jest dostępna dla Twojej edycji – zastosuj mitigację rejestrową

  • Jeżeli masz środowiska, gdzie update jeszcze nie dotarł (w materiałach wskazywano opóźnienia dla 2016/2019), rozważ tymczasową mitigację w rejestrze w gałęziach COM Compatibility z ustawieniem Compatibility Flags = 0x400 dla wskazanego CLSID. Najbezpieczniej wdrożyć to jako kontrolowany GPO/Intune remediation (z backupem i rollbackiem).

4) Utwardź warstwę „dokumenty z internetu”

  • Utrzymuj / egzekwuj Protected View oraz polityki ograniczające uruchamianie zawartości aktywnej z plików pobranych z internetu (MOTW). Microsoft wprost wskazuje, że ustawienia ochronne typu Protected View dają dodatkową warstwę obrony.

5) Hunting i detekcja

  • Potraktuj incydent jak „kampanię dokumentową”: poluj na nietypowe załączniki Office, wzrost otwarć plików z maili zewnętrznych, anomalie procesów potomnych Office (WinWord/Excel/PowerPoint) i zdarzenia związane z COM/OLE.
  • Microsoft wspomina o dostępnych detekcjach w Defenderze (warto upewnić się, że sygnatury/telemetria są aktualne).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • 0-day „bypass” vs „RCE”: CVE-2026-21509 nie jest opisywany jako klasyczne zdalne wykonanie kodu bez udziału użytkownika – tu kluczowe są interakcja użytkownika i ominięcie mechanizmu ochrony. To często mniej „medialne”, ale w praktyce równie groźne, bo zwiększa skuteczność dobrze znanych technik (phishing + dokument).
  • Mitigacja typu kill bit: użycie COM Compatibility i flag kompatybilności mocno przypomina historyczne podejście do blokowania podatnych komponentów ActiveX/COM – to sygnał, że problem może dotyczyć „konkretnego obiektu/klasy” w ekosystemie OLE/COM.

Podsumowanie / kluczowe wnioski

  • CVE-2026-21509 to aktywnie wykorzystywany 0-day w Microsoft Office, sklasyfikowany jako obejście zabezpieczeń OLE/COM.
  • Priorytetem jest szybka redukcja ekspozycji: aktualizacje, wymuszenie restartu Office tam, gdzie ochrona jest „service-side”, oraz mitigacje rejestrowe w środowiskach, które czekają na patch.
  • Traktuj temat jak incydent „high urgency”: NVD wskazuje powiązanie z KEV i termin działań do 16 lutego 2026.

Źródła / bibliografia

  1. BleepingComputer – opis OOB patch, zakres wersji, mitigacje rejestrowe, komentarz Microsoft (BleepingComputer)
  2. NVD (NIST) – CVSS 3.1 (CNA), opis, CWE-807, informacja o KEV (date added / due date) (nvd.nist.gov)
  3. The Hacker News – podsumowanie techniczne, restart aplikacji, wersje/aktualizacje, kroki mitigacji (The Hacker News)
  4. SecurityWeek – kontekst „in-the-wild”, brak szczegółów o kampanii, ogólna ocena ryzyka (SecurityWeek)
  5. The Register – dodatkowe tło i ujęcie operacyjne dla OOB patch (The Register)

Niemal 800 tys. serwerów Telnet wystawionych na ataki zdalne – krytyczna luka CVE-2026-24061 i realne exploity w sieci

Wprowadzenie do problemu / definicja luki

W ostatnich dniach wrócił temat, który wielu administratorów uważało za „zamknięty rozdział”: Telnet wystawiony do internetu. Shadowserver raportuje prawie 800 000 publicznie dostępnych instancji z „odciskami palca” Telnet, co oznacza ogromną powierzchnię ataku, zwłaszcza w kontekście krytycznej luki w GNU InetUtils telnetd: CVE-2026-24061.

CVE-2026-24061 to zdalne obejście uwierzytelnienia, które w praktyce może dać atakującemu dostęp root bez hasła – o ile usługa telnetd jest osiągalna po sieci.

W skrócie

  • Co jest podatne: GNU InetUtils 1.9.3–2.7.
  • Co naprawia: wydanie 2.8 (20 stycznia 2026).
  • Jak groźne: CVSS 3.1 9.8 (Critical).
  • Czy ktoś to już atakuje: tak — zaobserwowano próby wykorzystania luki w realnym ruchu.
  • Skala ekspozycji: ~800k instancji Telnet widocznych z internetu (globalnie; m.in. duże skupiska w Azji i Ameryce Południowej).

Kontekst / historia / powiązania

Telnet jest historycznym protokołem zdalnego dostępu (domyślnie TCP/23), który nie zapewnia szyfrowania i od lat jest wypierany przez SSH. Mimo to nadal bywa obecny w środowiskach „legacy”, urządzeniach embedded oraz IoT, które potrafią działać latami bez aktualizacji. Właśnie dlatego komponent telnetd z paczki GNU InetUtils nadal występuje w wielu obrazach systemów i firmware’ach.

W tym samym czasie mamy klasyczny problem „internet-exposed management”: usługa administracyjna wystawiona publicznie + krytyczna luka = szybka monetyzacja przez boty, skanery i operatorów kampanii oportunistycznych.

Analiza techniczna / szczegóły luki

Sedno CVE-2026-24061: GNU InetUtils telnetd niewłaściwie obchodzi się ze zmienną środowiskową USER przekazywaną od klienta i używa jej przy wywołaniu systemowego programu login. Atakujący może podać wartość w stylu -f root, co skutkuje wywołaniem odpowiadającym logice login -f root – a przełącznik -f powoduje ominięcie standardowego uwierzytelnienia. Efekt: root shell bez hasła (unauthenticated).

Co ważne operacyjnie: to nie jest „egzotyczny łańcuch” wymagający precyzyjnych warunków. Według analiz, jeśli telnetd jest osiągalny, podatność jest trywialna do użycia.

BleepingComputer opisał również obserwacje GreyNoise dotyczące wczesnych prób nadużyć: aktywność miała ruszyć 21 stycznia 2026, pochodzić z 18 adresów IP i obejmować 60 sesji Telnet, z elementem negocjacji opcji Telnet (IAC) wykorzystywanym do wstrzyknięcia parametru w stylu USER=-f <user>.

Praktyczne konsekwencje / ryzyko

Jeżeli Twoja organizacja ma (świadomie lub nie) telnetd wystawiony do internetu, ryzyko jest bardzo konkretne:

  • Natychmiastowe przejęcie hosta jako root (bez credentiali) → pełna kontrola nad systemem.
  • Szybka automatyzacja ataków: kampanie skanujące port 23 i „masowe” próby wejścia, szczególnie na urządzeniach trudnych do patchowania (embedded/IoT).
  • Dalsza eskalacja w sieci: pivoting do segmentów wewnętrznych, kradzież kluczy/sekretów, modyfikacja konfiguracji, dołączenie do botnetu, wykorzystanie w DDoS. (To naturalna ścieżka po uzyskaniu powłoki root na urządzeniu brzegowym).

Warto podkreślić: nawet jeśli nie potwierdzono publicznie, ile z tych ~800k instancji jest faktycznie podatnych na CVE-2026-24061, sama ekspozycja Telnet jest z definicji złą praktyką, a przy aktywnych próbach exploitacji — robi się to problem „tu i teraz”.

Rekomendacje operacyjne / co zrobić teraz

Priorytetem jest redukcja ekspozycji i szybkie odcięcie wektora.

  1. Zidentyfikuj ekspozycję
  • Skan zewnętrzny: czy masz TCP/23 wystawiony?
  • Inwentaryzacja: gdzie działa telnetd / pakiet GNU InetUtils telnetd.
  1. Załataj
  • Zaktualizuj do GNU InetUtils 2.8 (lub wersji dystrybucyjnej zawierającej poprawki). Patch został wydany 20 stycznia 2026.
  • Zweryfikuj status w swojej dystrybucji (np. komunikaty bezpieczeństwa dla CVE-2026-24061).
  1. Wyłącz lub odetnij Telnet
  • Najlepiej: wyłącz telnetd i przejdź na SSH.
  • Jeżeli nie możesz od razu: zablokuj port 23 na firewallach i ogranicz dostęp wyłącznie do zaufanych adresów/segmentów (VPN/jump host).
  1. Hunting / detekcja
    W środowiskach, gdzie Telnet istniał „od zawsze”, sprawdź ślady:
  • procesy login uruchomione z argumentem -f (podejrzane w tym kontekście),
  • sesje Telnet kończące się root shellem bez typowych zdarzeń logowania,
  • nietypowe modyfikacje autostartu/cronów/uprzywilejowanych kont po czasie potencjalnej ekspozycji.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

CVE-2026-24061 wyróżnia się na tle wielu współczesnych podatności dwoma cechami:

  • „Old school” mechanika (argument injection do login) zamiast złożonych łańcuchów RCE,
  • niski próg ataku: brak uwierzytelnienia, brak interakcji użytkownika, a w praktyce często brak nowoczesnych mechanizmów EDR na urządzeniach, które wciąż oferują Telnet (embedded/IoT/OT).

W porównaniu do typowych incydentów z internet-wystawionymi panelami www, Telnet daje atakującemu często prostszy i „czystszy” kanał do powłoki, a do tego bywa gorzej monitorowany.

Podsumowanie / kluczowe wnioski

  • Telnet w internecie nadal żyje — i to w skali, która realnie boli: ~800k instancji według Shadowserver.
  • CVE-2026-24061 to krytyczne obejście uwierzytelnienia w GNU InetUtils telnetd (1.9.3–2.7), naprawione w 2.8.
  • Próby nadużyć zostały już zauważone — nie warto zakładać, że „u mnie nikt nie skanuje portu 23”.
  • Najskuteczniejsza strategia to wyłączyć Telnet, a jeśli to niemożliwe natychmiast — zablokować ekspozycję i patchować w trybie pilnym.

Źródła / bibliografia

  1. BleepingComputer – „Nearly 800,000 Telnet servers exposed to remote attacks” (26 stycznia 2026). (BleepingComputer)
  2. Horizon3.ai – analiza CVE-2026-24061 (szczegóły techniczne, timeline, IOCs). (Horizon3.ai)
  3. NIST NVD – wpis dla CVE-2026-24061 (CVSS 9.8, opis). (nvd.nist.gov)
  4. OSS-Security (Openwall) – advisory dot. błędu w GNU InetUtils telnetd (20 stycznia 2026). (openwall.com)
  5. Ubuntu Security – karta CVE-2026-24061 (status i opis w kontekście dystrybucji). (Ubuntu)

Nowe ataki ClickFix nadużywają skryptów Windows App-V, by dostarczać malware (Amatera Stealer)

Wprowadzenie do problemu / definicja luki

ClickFix to nie „luka” w sensie CVE, tylko powtarzalny wzorzec socjotechniczny: ofiara jest przekonywana, by sama uruchomiła polecenie w Windows (najczęściej przez Win+R) pod pretekstem „weryfikacji” albo „naprawy problemu”. W najnowszej odsłonie atakujący dołożyli sprytny twist: zamiast odpalać PowerShell bezpośrednio, proxy’ują wykonanie przez legalny, podpisany komponent Microsoftu związany z App-V.

W skrócie

  • Kampania startuje od fałszywego CAPTCHA i instrukcji: wklej/uruchom komendę w oknie „Uruchamianie” (Win+R).
  • Komenda nadużywa SyncAppvPublishingServer.vbs (App-V) odpalonego przez wscript.exe, aby „przykryć” uruchomienie PowerShell i zmienić typowy łańcuch procesów.
  • Łańcuch ma bramki anty-sandbox: sprawdzanie zachowania użytkownika, kolejności uruchomienia i stanu schowka; w środowiskach analitycznych potrafi „wisieć” w nieskończoność.
  • Konfiguracja jest pobierana z publicznego Google Calendar (.ics) (dead-drop), a jeden z etapów ukrywa payload w PNG (steganografia) i ładuje go w pamięci.
  • Finalnie celem jest Amatera Stealer (rodzina infostealer sprzedawana jako MaaS, rozwijana i „utwardzana” pod kątem evasion).

Kontekst / historia / powiązania

Microsoft wskazuje, że ClickFix rośnie od 2024 r. i bywa łączony z phishingiem, malvertisingiem oraz kompromitacją stron — a kluczową przewagą napastnika jest wymuszenie interakcji człowieka, która potrafi ominąć część automatycznych detekcji.

W tej kampanii istotne jest „życie z ziemi” (LotL/LOLBins): MITRE opisuje nadużycie SyncAppvPublishingServer.vbs jako sub-technikę System Script Proxy Execution, gdzie legalny skrypt może proxy’ować wykonanie poleceń PowerShell zamiast bezpośredniego powershell.exe.

Analiza techniczna / szczegóły luki

Poniżej najważniejsze elementy łańcucha (z perspektywy IR/DFIR i detekcji):

1) Wejście: fake CAPTCHA → Win+R
Użytkownik widzi stronę „human verification” i dostaje instrukcję uruchomienia komendy. To klasyczny ClickFix, ale dalej robi się nietypowo.

2) Proxy wykonania: wscript.exe + SyncAppvPublishingServer.vbs
Zamiast explorer.exe → powershell.exe, pojawia się uruchomienie przez wscript.exe i skrypt App-V (SyncAppvPublishingServer.vbs). To zmienia „process ancestry” i może obniżać skuteczność reguł nastawionych na typowe wzorce PowerShell.

3) „Execution gates” i anty-analiza
Blackpoint opisuje bramkowanie oparte m.in. o:

  • walidację kolejności kroków i zachowania użytkownika,
  • kontrolę schowka (marker potwierdzający manualne wklejenie),
  • ciche „zawieszenie” (np. nieskończone oczekiwanie), by marnować zasoby sandboxów.

4) LotL infrastruktury: konfiguracja w Google Calendar (.ics)
Zamiast twardo kodować parametry C2/loadera, kampania pobiera je z publicznego pliku kalendarza (ICS) — prostej tekstówki, którą łatwo aktualizować bez ruszania pierwszych etapów.

5) Fileless/stage’in memory + steganografia w PNG
W kolejnych etapach payload jest odszyfrowywany/rozpakowywany w pamięci, a jedna z metod dostarczania to ukrycie zaszyfrowanego ładunku w obrazie PNG (steganografia).

6) Payload: Amatera Stealer
Amatera jest opisywana przez Proofpoint jako rebranding ACR Stealera, oferowany w modelu MaaS i rozwijany pod kątem unikania detekcji; w praktyce to „warstwa monetyzacji” wielu web-inject / ClickFix-like łańcuchów.

Praktyczne konsekwencje / ryzyko

  • Celowanie w środowiska firmowe: App-V częściej występuje w środowiskach Enterprise/Education; tam też „naturalnie” działa SyncAppvPublishingServer.vbs, więc aktywność łatwiej ukryć w szumie.
  • Kradzież danych uwierzytelniających i sesji: infostealery typowo polują na przeglądarki, hasła, tokeny, portfele krypto i dane aplikacji — co szybko przekłada się na przejęcia kont i dalszą propagację. (Charakterystyka Amatera jako aktywnie rozwijanego stealera/MaaS.)
  • Niższa skuteczność „klasycznych” reguł PowerShell: jeżeli polityki/detekcje są budowane głównie wokół powershell.exe, proxy przez wscript.exe + podpisany skrypt może wyślizgiwać się spod części alertów.

Rekomendacje operacyjne / co zrobić teraz

Szybkie działania (24–72h):

  1. Edukacja i komunikat do użytkowników: „Nigdy nie wklejaj poleceń do Win+R/Terminala z przypadkowych stron (CAPTCHA, ‘fix’, ‘verify’)”. Microsoft wprost wskazuje ten element jako rdzeń ClickFix i punkt, w którym szkolenie realnie obniża ryzyko.
  2. Detekcja: wscript.exe → SyncAppvPublishingServer.vbs z osadzonym PowerShell
    • MITRE sugeruje monitorowanie uruchomień tego skryptu przez wscript.exe i anomalii w linii poleceń, gdzie skrypt służy jako proxy dla PowerShell.
  3. Ograniczenie powierzchni: blokada skryptu, jeśli App-V nie jest wymagany
    • MITRE w mitigacjach mówi wprost: jeśli podpisane skrypty proxy-execution nie są potrzebne, warto je blokować polityką kontroli aplikacji. (WDAC/AppLocker / allow-listing).

Wzmocnienia średnioterminowe (1–4 tyg.):

  • Hardening stacji: ograniczenie możliwości uruchamiania narzędzi i interpreterów skryptowych tam, gdzie nie są niezbędne (w tym kontrola VBScript/WSH w środowisku).
  • Telemetria PowerShell: gdzie to możliwe, włącz/utrzymaj logowanie (Script Block Logging/AMSI) i koreluj z nietypowym proces ancestry (PowerShell bez powershell.exe na wierzchu).
  • Polityki uprawnień: minimalizacja lokalnych adminów oraz kontrola makr/skryptów i stref (szczególnie gdy wektor wejścia to web).
  • Polowanie po IoC/TTP: nietypowe pobieranie .ics z publicznych usług, sekwencje loaderów „in-memory”, pobieranie PNG w kontekście skryptów i późniejsze deszyfrowanie/uruchomienie.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Klasyczny ClickFix często sprowadza się do „wklej i uruchom PowerShell”. Microsoft opisuje, że wariantów jest wiele, ale rdzeń pozostaje ten sam: użytkownik wykonuje polecenie, bo wygląda na element weryfikacji/naprawy.

To, co wyróżnia opisywaną kampanię, to proxy execution przez App-V (LOLBin) oraz wieloetapowa, konsekwentna optymalizacja pod anty-analizę: bramkowanie schowkiem i kolejnością, dead-drop w Google Calendar i steganografia w PNG, wszystko z naciskiem na „ciche” wykonanie w pamięci.

Podsumowanie / kluczowe wnioski

  • ClickFix dalej działa, bo wykorzystuje nawyk „szybkiego naprawiania” problemu — a ta kampania pokazuje, że napastnicy potrafią go połączyć z podpisanymi komponentami Windows i przemyślanym łańcuchem evasion.
  • SyncAppvPublishingServer.vbs nie jest egzotyką w ATT&CK — to rozpisana technika proxy-execution; jeśli masz App-V, musisz liczyć się z nadużyciem tego elementu.
  • Największy „ROI” na start: uświadomienie użytkowników + detekcje na wscript/App-V + kontrola aplikacji (blokuj, jeśli niepotrzebne).

Źródła / bibliografia

  1. BleepingComputer – „New ClickFix attacks abuse Windows App-V scripts to push malware” (26 stycznia 2026) (BleepingComputer)
  2. Blackpoint Cyber – „Novel Fake CAPTCHA Chain Delivering Amatera Stealer” (Blackpoint)
  3. MITRE ATT&CK – T1216.002 System Script Proxy Execution: SyncAppvPublishingServer (attack.mitre.org)
  4. Microsoft Security Blog – „Think before you Click(Fix): Analyzing the ClickFix social engineering technique” (21 sierpnia 2025) (Microsoft)
  5. Proofpoint – „Amatera Stealer: Rebranded ACR Stealer With Improved Evasion, Sophistication” (16 czerwca 2025) (Proofpoint)

Luki w systemach kontroli dostępu dormakaba: jak „cyber” może przełożyć się na otwieranie drzwi w realu

Wprowadzenie do problemu / definicja luki

Systemy PACS (Physical Access Control Systems) – serwery zarządzania, kontrolery przejść, rejestratory/kioski (PIN, RFID, biometria) – są dziś częścią krytycznej infrastruktury organizacji: biur, logistyki, energetyki czy lotnisk. Gdy w takim ekosystemie pojawiają się podatności typu brak uwierzytelnienia, hardcoded credentials/keys, słabe hasła domyślne czy command injection, ryzyko nie kończy się na „danych” – może dotyczyć też fizycznego dostępu do stref chronionych.

W skrócie

  • Badacze SEC Consult opisali ponad 20 podatności w środowisku kontroli dostępu dormakaba (m.in. exos 9300, Access Manager, registration unit).
  • Scenariusze nadużyć obejmują m.in. zdalne otwieranie drzwi, zmianę konfiguracji kontrolerów i pozyskanie wrażliwych danych (np. PIN-ów).
  • Producent wskazuje, że do skutecznej eksploatacji zwykle potrzebny jest dostęp do sieci/infrastruktury klienta, ale SEC Consult zwraca uwagę na przypadki systemów wystawionych do internetu, co zmienia profil zagrożenia.
  • dormakaba opublikowała biuletyny i aktualizacje oraz wytyczne hardeningu (m.in. podniesienie wersji exos 9300 i zabezpieczenie komunikacji z kontrolerami).

Kontekst / historia / powiązania

Opisane podatności dotyczą rozwiązań wdrażanych głównie w dużych organizacjach w Europie (m.in. przemysł, usługi, logistyka, energetyka, operatorzy lotnisk). SEC Consult podkreśla też typowy problem tej klasy systemów: wysoki próg wejścia dla niezależnych badań (koszt, dostępność, złożoność), co często skutkuje niższą „częstotliwością pentestów” niż w przypadku popularnych aplikacji webowych.

Analiza techniczna / szczegóły luki

Poniżej najważniejsze klasy podatności i przykładowe, konkretne wektory opisane w materiałach producenta i badaczy:

1) Brak uwierzytelnienia usług / interfejsów zarządzania

W biuletynie producenta dla exos 9300 pojawia się m.in. problem nieautoryzowanego dostępu do SOAP API (port 8002), które ma umożliwiać m.in. odpytywanie informacji wrażliwych (np. PIN-y 2FA powiązane z kartami) oraz generowanie zdarzeń logów.

2) Hardcoded credentials i możliwość sterowania kontrolerami

W tym samym advisory wskazano wbudowane (hard-coded) poświadczenia dla kont „legacy”, które mogą umożliwiać logowanie do usługi pośredniczącej w komunikacji statusów z Access Managerami (m.in. porty 1004/1005), a w konsekwencji także wysyłanie komend – w tym otwierania drzwi.

3) Słabe mechanizmy ochrony sekretów (klucze/„szyfrowanie” PIN-ów)

W advisory producent opisuje też przypadki hard-coded sekretów oraz słabe podejścia do ochrony danych (np. statyczny klucz / niestandardowe mechanizmy), co przekłada się na ryzyko ujawnienia lub odtworzenia wrażliwych informacji przechowywanych w bazie.

4) Lokalna eskalacja uprawnień i podatności konfiguracyjne

Część problemów ma charakter „post-exploitation” (np. lokalne podbicie uprawnień na serwerze aplikacyjnym), co jest szczególnie groźne w scenariuszach: dostęp gościa do sieci, kompromitacja stacji admina, przeskok z innego segmentu OT/IT.

Praktyczne konsekwencje / ryzyko

W praktyce taki łańcuch podatności może umożliwić:

  • otwieranie wybranych przejść (drzwi/bramki) bez autoryzacji lub z pominięciem standardowych ścieżek,
  • rekonesans i eskalację: podejrzenie konfiguracji, relacji kontrolerów, topologii stref, a także dalsze nadużycia w sieci (pivoting),
  • kompromitację danych uwierzytelniających (PIN-y, informacje o kartach/użytkownikach, logi zdarzeń),
  • atak mieszany cyber–physical: kradzież, sabotaż, wejście do serwerowni, stref OT, magazynów wysokiej wartości.

Istotny niuans z punktu widzenia ryzyka: vendor akcentuje „wymóg dostępu do sieci klienta”, ale badacze wskazali na przypadki internet-exposed instancji, które potencjalnie dają drogę ataku „z zewnątrz” bez wcześniejszego wejścia do sieci.

Rekomendacje operacyjne / co zrobić teraz

Jeżeli w organizacji działa dormakaba / Kaba exos 9300 lub komponenty powiązane (Access Manager, registration unit), sensowny plan „na teraz”:

  1. Inwentaryzacja i ekspozycja
  • Sprawdź, gdzie działa exos 9300 oraz urządzenia peryferyjne (kontrolery/rejestratory).
  • Zweryfikuj, czy cokolwiek jest wystawione do internetu (VPN ≠ internet; sprawdź też NAT/port-forward i „tymczasowe” wyjątki).
  1. Aktualizacje i twarde minimum wersji
  • Producent zaleca aktualizację exos 9300 do nowszych wydań (w advisory pojawia się próg co najmniej 4.4.x / 4.4.1 dla części podatności) oraz wdrożenie zadań mitygacyjnych i hardeningu.
  1. Segmentacja + ograniczenie portów/usług
  • Zablokuj dostęp do usług zarządzania z sieci nieadministracyjnych.
  • Zastosuj zasady „deny by default” na poziomie ACL/Firewall w segmentach PACS.
  1. Zabezpieczenie komunikacji do kontrolerów
  • W biuletynie wskazano m.in. szyfrowanie kanałów do Access Managerów: IPsec (dla określonych generacji) oraz mTLS/HTTPS dla nowszych wdrożeń, a także domyślne HTTPS w nowych instalacjach przy exos 4.4.x (zależnie od scenariusza).
  1. Higiena poświadczeń i monitoring
  • Usuń/wyłącz konta nieużywane, zmień hasła domyślne (tam gdzie dotyczy).
  • Wdróż alerty na nietypowe komendy „door open”, zmiany konfiguracji kontrolerów i anomalie w logach systemu.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

To zdarzenie wyróżnia się tym, że dotyczy systemu, w którym skutkiem incydentu może być natychmiastowy wpływ fizyczny (otwieranie drzwi/stref). W klasycznych podatnościach IT konsekwencją bywa „tylko” wyciek lub przerwa w działaniu; tutaj ryzyko obejmuje też bezpieczeństwo ludzi, ciągłość operacji i ochronę obiektów.

Podsumowanie / kluczowe wnioski

  • PACS to nie „zwykły IoT” – to infrastruktura, w której błędy w auth/sekretach mogą przełożyć się na realny dostęp do obiektów.
  • Najbardziej krytyczne są scenariusze: brak uwierzytelnienia usług, hardcoded credentials, oraz błędna ekspozycja do internetu.
  • Aktualizacje i hardening od producenta są dostępne – ale kluczowe jest też to, co po stronie klienta: segmentacja, kontrola ekspozycji, szyfrowanie kanałów, monitoring i proces zarządzania poprawkami.

Źródła / bibliografia

  1. SecurityWeek – opis podatności i kontekstu wdrożeń (26 stycznia 2026). (SecurityWeek)
  2. SEC Consult – „Hands-Free Lockpicking…” (26.01.2026) + odnośniki do advisory. (SEC Consult)
  3. dormakaba Group – lista Security Advisories (26 stycznia 2026). (EN – dormakaba Group)
  4. dormakaba – DKSA-26-26-012 (PDF) „Kaba exos 9300” (CVE m.in. 2025-59090…59096). (Contentful Assets)