Fortinet, Ivanti i ServiceNow publikują poprawki bezpieczeństwa. Krytyczne RCE w platformie AI wymaga pilnej reakcji - Security Bez Tabu

Fortinet, Ivanti i ServiceNow publikują poprawki bezpieczeństwa. Krytyczne RCE w platformie AI wymaga pilnej reakcji

Cybersecurity news

Wprowadzenie do problemu

Fortinet, Ivanti i ServiceNow opublikowały pakiet poprawek usuwających luki bezpieczeństwa w rozwiązaniach wykorzystywanych w środowiskach korporacyjnych. Największe zagrożenie dotyczy krytycznej podatności typu remote code execution w platformie AI ServiceNow, która może zostać wykorzystana bez uwierzytelnienia.

Tego typu błędy mają szczególne znaczenie dla organizacji, ponieważ dotyczą systemów wspierających bezpieczeństwo, zarządzanie tożsamością, analizę incydentów oraz operacje administracyjne. Skuteczne wykorzystanie podatności w takich produktach może prowadzić do przejęcia systemów, ujawnienia danych lub uzyskania dostępu do kolejnych segmentów infrastruktury.

W skrócie

  • Fortinet, Ivanti i ServiceNow załatały łącznie 15 podatności.
  • Najpoważniejsza luka to CVE-2026-6875 w platformie AI ServiceNow, oceniona na 9.5 w skali CVSS.
  • Ivanti usunęło dwie luki w Xtraction: open redirect i path traversal.
  • Fortinet opublikował 11 biuletynów opisujących 12 podatności w wielu produktach.
  • W momencie publikacji poprawek nie wskazano potwierdzonej aktywnej eksploatacji tych błędów.

Kontekst i historia

Regularne publikowanie biuletynów bezpieczeństwa przez dużych dostawców oprogramowania to stały element zarządzania podatnościami. Szczególnie niebezpieczne są jednak luki w komponentach dostępnych zdalnie, zwłaszcza jeśli mogą zostać wykorzystane bez logowania lub bez dodatkowej interakcji użytkownika.

W tym przypadku znaczenie incydentu zwiększa fakt, że poprawki obejmują produkty wykorzystywane w krytycznych obszarach działalności firm. Mowa między innymi o rozwiązaniach do zarządzania incydentami, kontroli dostępu uprzywilejowanego, uwierzytelniania, analizy bezpieczeństwa i sandboxingu plików. Kompromitacja takich narzędzi może dać napastnikowi szeroki wgląd w środowisko lub ułatwić ruch boczny w sieci.

Analiza techniczna

Najważniejszą podatnością jest CVE-2026-6875 w platformie AI ServiceNow. To krytyczna luka umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia, co czyni ją wyjątkowo groźną z operacyjnego punktu widzenia. Atakujący nie musi bowiem dysponować poprawnymi poświadczeniami, aby podjąć próbę wykonania nieautoryzowanych działań na podatnym systemie.

ServiceNow poinformowało o wdrożeniu odpowiednich aktualizacji bezpieczeństwa dla instancji hostowanych oraz o udostępnieniu poprawek dla klientów korzystających z wdrożeń self-hosted i dla partnerów. Oznacza to, że organizacje powinny zweryfikować nie tylko własne środowiska, ale również systemy utrzymywane przez zewnętrznych integratorów.

Ivanti usunęło dwie luki w produkcie Xtraction: CVE-2026-14902 oraz CVE-2026-14903. Pierwsza, sklasyfikowana jako open redirect, może zostać wykorzystana do przekierowania użytkownika na złośliwy adres, zwiększając skuteczność kampanii phishingowych. Druga, dotycząca path traversal, może umożliwić odczyt plików spoza katalogu web root, a tym samym ujawnienie konfiguracji, sekretów aplikacyjnych lub innych wrażliwych artefaktów.

Fortinet opublikował 11 biuletynów obejmujących 12 podatności w szerokim portfolio produktów, w tym między innymi FortiOS, FortiProxy, FortiSASE, FortiSIEM, FortiClient EMS, FortiAuthenticator, FortiPAM, FortiSwitch Manager, FortiSwitch-Manager Agentless SSL-VPN oraz FortiSandbox. Najpoważniejsze problemy dotyczą FortiAuthenticator i FortiSandbox, gdzie możliwe było ujawnienie danych wrażliwych oraz uzyskanie dostępu do serwera VNC maszyn wirtualnych używanych do analizy próbek.

Pozostałe luki obejmują między innymi wycieki pamięci, wykonanie komend, wstrzyknięcie dowolnych nagłówków HTTP, przechwycenie lub modyfikację żądań uwierzytelniających, podszycie się pod AD Connector przy użyciu prawidłowego klucza API, usunięcie systemu plików oraz wykonanie kodu. Taki zakres wskazuje na zróżnicowane klasy błędów, od problemów walidacji wejścia po niedostateczną ochronę interfejsów administracyjnych.

Konsekwencje i ryzyko

Ryzyko dla organizacji zależy od sposobu wdrożenia podatnych produktów oraz ich ekspozycji na sieć publiczną lub sieci partnerów. W przypadku ServiceNow największe zagrożenie wynika z możliwości nieautoryzowanego RCE, które może prowadzić do przejęcia aplikacji, utrwalenia dostępu, eksfiltracji danych lub dalszej eskalacji uprawnień.

W Ivanti Xtraction scenariusz ataku może mieć charakter wieloetapowy. Open redirect może wspierać działania socjotechniczne, natomiast path traversal może dostarczyć plików lub danych ułatwiających kolejny etap kompromitacji. Taka kombinacja jest szczególnie niebezpieczna w systemach, które agregują dane z wielu źródeł i są szeroko dostępne dla użytkowników biznesowych.

W przypadku Fortinet wpływ jest rozproszony, ale potencjalnie szeroki, ponieważ dotyczy wielu produktów pełniących istotne funkcje bezpieczeństwa i zarządzania. Naruszenie takich komponentów może prowadzić do ujawnienia danych, nadużycia kont uprzywilejowanych, obejścia procesów uwierzytelniania oraz zakłócenia działania narzędzi, które same powinny chronić organizację.

Rekomendacje

Organizacje korzystające z rozwiązań Fortinet, Ivanti i ServiceNow powinny potraktować te poprawki priorytetowo i wdrożyć przyspieszony proces remediacji. Samo opublikowanie łatek często zwiększa zainteresowanie atakujących inżynierią wsteczną oraz próbami szybkiego przygotowania exploitów.

  • Zidentyfikować wszystkie instancje objętych produktów, w tym środowiska produkcyjne, testowe, zapasowe i utrzymywane przez partnerów.
  • Zweryfikować status aktualizacji oraz niezwłocznie wdrożyć poprawki zgodnie z procedurą kontroli zmian.
  • Sprawdzić logi pod kątem anomalii, takich jak nietypowe żądania HTTP, próby odczytu plików, podejrzane sesje administracyjne i nowe artefakty wykonywalne.
  • Ograniczyć powierzchnię ataku przez segmentację sieci, restrykcję dostępu administracyjnego, wymuszenie MFA i minimalizację ekspozycji interfejsów zarządzających.
  • Zaktualizować playbooki SOC i IR o scenariusze związane z nieautoryzowanym RCE, path traversal oraz nadużyciami interfejsów webowych.

Podsumowanie

Najnowszy pakiet poprawek od Fortinet, Ivanti i ServiceNow pokazuje, że poważne podatności nadal pojawiają się w produktach pełniących centralną rolę w infrastrukturze przedsiębiorstw. Szczególnej uwagi wymaga CVE-2026-6875 w platformie AI ServiceNow, ponieważ umożliwia zdalne wykonanie kodu bez uwierzytelnienia.

Równocześnie luki w Ivanti Xtraction oraz licznych rozwiązaniach Fortinet zwiększają presję na szybkie wdrażanie aktualizacji, przegląd telemetrii bezpieczeństwa i ograniczanie ekspozycji usług administracyjnych. Nawet bez potwierdzonej aktywnej eksploatacji zwłoka w patchowaniu istotnie podnosi ryzyko operacyjne.

Źródła