CrowdStrike i Tenable łatają groźne luki w LogScale oraz Nessus

Wprowadzenie do problemu / definicja

Producenci rozwiązań bezpieczeństwa regularnie publikują poprawki usuwające błędy, które mogą prowadzić do przejęcia kontroli nad systemem, ujawnienia danych lub zakłócenia działania środowiska. Najnowsze komunikaty dotyczą dwóch istotnych podatności: krytycznej luki path traversal w CrowdStrike LogScale oraz podatności wysokiego ryzyka w Tenable Nessus i Nessus Agent dla systemów Windows.

Oba przypadki pokazują, że nawet narzędzia przeznaczone do ochrony infrastruktury same wymagają ścisłego nadzoru, szybkiego procesu aktualizacji i pełnego włączenia do programu zarządzania podatnościami.

W skrócie

• CrowdStrike usunął krytyczną, nieuwierzytelnioną podatność CVE-2026-40050 w LogScale.
• Luka mogła umożliwić zdalny odczyt dowolnych plików z systemu plików serwera.
• Klienci korzystający z Next-Gen SIEM nie zostali objęci problemem, a ryzyko dla środowisk LogScale SaaS zostało ograniczone po stronie dostawcy.
• Tenable opublikował poprawki dla CVE-2026-33694 w Nessus oraz Nessus Agent na Windows.
• Podatność mogła pozwalać na usuwanie dowolnych plików z uprawnieniami SYSTEM, a w określonych warunkach także na eskalację uprawnień i wykonanie kodu.

Kontekst / historia

LogScale to platforma używana do centralizacji, przetwarzania i analizy logów, często wdrażana w architekturach SOC, SIEM oraz środowiskach telemetrycznych. Z uwagi na zakres gromadzonych danych i rolę operacyjną tego typu systemów, każda luka umożliwiająca dostęp do plików hosta ma bardzo wysoki potencjał wpływu na poufność i bezpieczeństwo całego środowiska.

Nessus pozostaje jednym z najczęściej wykorzystywanych skanerów podatności w przedsiębiorstwach. Narzędzie działa zwykle z wysokimi uprawnieniami, aby realizować lokalne kontrole bezpieczeństwa, audyt konfiguracji i ocenę hostów. To sprawia, że wszelkie błędy związane z obsługą plików i ścieżek mogą mieć szczególnie poważne konsekwencje, w tym prowadzić do lokalnej eskalacji uprawnień lub uszkodzenia systemu.

Choć path traversal i błędy związane z obsługą obiektów systemu plików w Windows należą do dobrze znanych klas podatności, nadal regularnie pojawiają się w praktyce. Wynika to z rozbudowanych wdrożeń, szerokich uprawnień procesów oraz złożoności kontroli integralności ścieżek i zasobów lokalnych.

Analiza techniczna

CVE-2026-40050 w CrowdStrike LogScale została opisana jako krytyczna, nieuwierzytelniona podatność path traversal. Tego rodzaju błąd pojawia się zwykle wtedy, gdy aplikacja niewystarczająco waliduje ścieżki przekazywane do komponentów obsługujących pliki. W efekcie atakujący może próbować uzyskać dostęp do zasobów znajdujących się poza dozwolonym katalogiem roboczym.

W przypadku platformy do analizy logów skutki takiej luki mogą być szczególnie poważne. Potencjalnie zagrożone są pliki konfiguracyjne, tokeny integracyjne, dane połączeń z usługami zewnętrznymi, lokalne sekrety aplikacyjne i inne artefakty operacyjne. Nawet jeśli podatność ogranicza się do odczytu, pozyskane informacje mogą umożliwić dalszą kompromitację środowiska.

Istotne znaczenie ma również fakt, że podatność określono jako nieuwierzytelnioną. Oznacza to, że potencjalny atak nie wymagał wcześniejszego logowania do aplikacji, co zwiększa ekspozycję instancji dostępnych z sieci.

Z kolei CVE-2026-33694 w Tenable Nessus dotyczy systemów Windows i mechanizmu junctions, czyli specjalnych obiektów systemu plików pozwalających przekierowywać operacje na inne lokalizacje. Jeśli aplikacja wykonująca działania z wysokimi uprawnieniami nie zabezpiecza poprawnie operacji na ścieżkach i obiektach pośrednich, lokalny użytkownik może wymusić działania na plikach spoza zakładanego obszaru roboczego.

W praktyce oznacza to możliwość doprowadzenia do usuwania dowolnych plików z uprawnieniami SYSTEM. W określonych scenariuszach taki problem może zostać wykorzystany również do lokalnej eskalacji uprawnień i uruchomienia kodu z wyższym poziomem dostępu. To szczególnie niebezpieczne w przypadku oprogramowania bezpieczeństwa instalowanego na ważnych hostach administracyjnych.

Konsekwencje / ryzyko

Dla użytkowników LogScale kluczowym zagrożeniem jest możliwość ujawnienia wrażliwych danych z serwera aplikacyjnego. W zależności od modelu wdrożenia mogą to być poświadczenia techniczne, dane konfiguracyjne, informacje o integracjach oraz metadane przydatne w dalszych etapach ataku. Jeśli instancja była wystawiona do internetu, luka mogła stanowić atrakcyjny wektor początkowego dostępu.

W przypadku Nessus i Nessus Agent ryzyko ma bardziej lokalny, ale nadal poważny charakter. Możliwość usuwania plików z uprawnieniami SYSTEM może prowadzić do destabilizacji systemu, uszkodzenia aplikacji lub przejęcia hosta przez lokalnego napastnika. W środowiskach wieloużytkownikowych lub tam, gdzie mniej uprzywilejowani użytkownicy mogą uruchamiać kod, zagrożenie to jest szczególnie istotne.

Warto pamiętać, że nawet brak publicznych doniesień o aktywnym wykorzystaniu nie oznacza braku realnego ryzyka. Po publikacji poprawek i komunikatów technicznych często pojawia się możliwość szybkiego odtworzenia logiki błędu i przygotowania skutecznych metod ataku.

Rekomendacje

Organizacje korzystające z CrowdStrike LogScale w modelu self-hosted powinny niezwłocznie wdrożyć wersję zawierającą poprawkę. Dodatkowo warto sprawdzić, czy instancja była dostępna z internetu, ograniczyć ekspozycję interfejsów administracyjnych oraz przeanalizować logi pod kątem nietypowych żądań wskazujących na próby odczytu nieautoryzowanych ścieżek.

Dobrym krokiem po stronie operacyjnej jest również weryfikacja, jakie sekrety mogły znajdować się na serwerze LogScale. W razie podejrzenia ujawnienia należy przeprowadzić rotację haseł technicznych, tokenów, kluczy API i innych poświadczeń przechowywanych lokalnie.

Użytkownicy Tenable Nessus i Nessus Agent na Windows powinni wdrożyć zalecane poprawki zgodnie z komunikatami producenta. Równolegle warto ograniczyć możliwość lokalnego logowania na hostach ze skanerem, monitorować operacje plikowe wykonywane przez procesy usługowe oraz stosować dodatkowe kontrole bezpieczeństwa na systemach administracyjnych.

• Niezwłocznie aktualizować LogScale, Nessus i Nessus Agent.
• Ograniczyć ekspozycję usług bezpieczeństwa do niezbędnych segmentów sieci.
• Analizować logi pod kątem prób nadużyć i nietypowych operacji plikowych.
• Rotować poświadczenia, jeśli istnieje ryzyko ich ujawnienia.
• Uruchamiać narzędzia bezpieczeństwa na dedykowanych, utwardzonych hostach.

Podsumowanie

Najnowsze poprawki od CrowdStrike i Tenable dotyczą luk o istotnym znaczeniu operacyjnym. W jednym przypadku chodzi o zdalny, nieuwierzytelniony odczyt plików w LogScale, a w drugim o możliwość destrukcyjnych operacji plikowych i potencjalnej eskalacji uprawnień w Nessus na Windows.

To kolejny sygnał dla zespołów bezpieczeństwa, że platformy SIEM, skanery podatności i agenci bezpieczeństwa powinny być traktowane jak krytyczne komponenty infrastruktury. Szybkie aktualizacje, kontrola ekspozycji, przegląd logów oraz właściwe zarządzanie poświadczeniami pozostają podstawą ograniczania ryzyka.

Źródła

• https://www.securityweek.com/vulnerabilities-patched-in-crowdstrike-tenable-products/
• https://www.crowdstrike.com/en-us/blog/security-advisory-cve-2026-40050/
• https://www.tenable.com/security/tns-2026-11
• https://www.tenable.com/security/tns-2026-12