Archiwa: APT - Security Bez Tabu

Tag: APT

Korea Płn. ukrywa malware w blockchainie: jak działa EtherHiding i co to oznacza dla obrony?

Wprowadzenie do problemu / definicja luki

Google Threat Intelligence (Mandiant) potwierdziło, że aktor państwowy z Korei Północnej (UNC5342) zaczął wykorzystywać publiczne blockchainy (Ethereum, BNB Smart Chain) do ukrywania i dostarczania złośliwego kodu. Technika znana jako EtherHiding osadza ładunki w smart kontraktach, co utrudnia blokowanie i „takedown” — kod pozostaje dostępny tak długo, jak działa sam blockchain. To pierwszy znany przypadek adopcji tej metody przez aktora państwowego.

O odkryciu poinformował również serwis The Record (Recorded Future News), który podkreśla, że kampania łączy socjotechnikę na deweloperach z loaderem JADESNOW i backdoorem INVISIBLEFERRET używanym w kradzieżach krypto.

W skrócie

  • Co nowego? Korea Płn. przenosi delivery/C2 do smart kontraktów (Ethereum/BSC), korzystając z bezpłatnych zapytań eth_call do pobierania ładunków bez śladów on-chain (brak opłat/gazu).
  • Po co? Decentralizacja = odporność na zdejmowanie infrastruktury i listy blokujące; możliwość zdalnych, cichych aktualizacji łańcucha infekcji.
  • Jakie malware? Loader JADESNOW → wariant JS INVISIBLEFERRET (oraz inne moduły), wcześniej obserwowane w kradzieżach kryptowalut.
  • Kogo celują? Deweloperzy (krypto/tech), rekrutacje „Contagious Interview” i zadania techniczne z trojanizowanymi paczkami npm/VSC.

Kontekst / historia / powiązania

EtherHiding nie jest całkiem nowe: po raz pierwszy opisano je w 2023 r. jako element kampanii CLEARFAKE, która podszywała się pod aktualizacje przeglądarki i osadzała JS w kontraktach BSC. Wówczas była to taktyka finansowo motywowanego UNC5142; dziś po raz pierwszy adoptuje ją aktor państwowy (UNC5342).

Dopełnieniem tła są długotrwałe kampanie DPRK na rynku krypto (fałszywi rekruterzy, pakiety npm, drenaż portfeli). Unit 42 opisało je jako Contagious Interview – podszywanie pod headhunterów, zadania techniczne, łańcuchy z loaderami i backdoorami.

Równolegle Cisco Talos dokumentuje ewolucję narzędzi powiązanych z DPRK (np. BeaverTail, OtterCookie) oraz częste instalowanie INVISIBLEFERRET w podobnych klastrach aktywności. To spójne z obserwacjami Google dot. kampanii na deweloperów.

Analiza techniczna / szczegóły luki

Łańcuch ataku (wysoki poziom):

  1. Initial access: socjotechnika (LinkedIn/komunikatory), fikcyjne firmy, „zadanie rekrutacyjne” → pobranie paczki z npm/GitHub.
  2. Loader: niewielki skrypt JS (JADESNOW) wstrzykiwany do projektu/środowiska.
  3. On-chain fetch: skrypt wykonuje zapytania read-only (np. eth_call) do smart kontraktu w Ethereum/BSC, odczytując zaszyfrowane (Base64 + XOR) dane wejściowe z przechowywanych zmiennych/zdarzeń. Brak transakcji = brak śladu on-chain + brak opłat.
  4. Dekodowanie/egzekucja: odszyfrowany JS uruchamia JADESNOW → dostarcza INVISIBLEFERRET (JS/Python), opcjonalnie doładowuje infostealery; payload bywa przełączany między łańcuchami (Ethereum ↔ BSC) dla utrudnienia analizy i optymalizacji kosztów gazu.

Dlaczego to działa?

  • Decentralizacja i niezmienność utrudniają zrywanie łańcucha C2/delivery (brak „serwera” do przejęcia), a autor kontraktu może aktualizować dane/pola zgodnie z ABI i w okamgnieniu zmieniać konfigurację kampanii.
  • Warstwa dostępu: mimo że kontrakt jest permissionless, operatorzy często korzystają z centralizowanych usług API (np. dostawcy endpointów), które stanowią jedyny punkt obserwacji/zakłócenia dla obrońców.

Pochodzenie techniki: Guardio Labs opisało EtherHiding w 2023 r. w kontekście CLEARFAKE (kompromitowane strony WordPress, fałszywe aktualizacje, ładunki JS w BSC), co stanowiło „bulletproof hosting 2.0”.

Praktyczne konsekwencje / ryzyko

  • Takedown-resistance: klasyczne playbooki (sinkhole, hosting takedown, blokada domen) są mało skuteczne – kod żyje w łańcuchu. Blue team musi celować w punkty pośrednie: dostawców RPC/API, reguły sieciowe, łańcuchy deszyfracji.
  • Low-noise delivery: eth_call nie tworzy transakcji, więc logika ładowania jest „cicha” – brak detekcji opartej na anomaliach transakcyjnych.
  • Supply-chain & dev tooling: wektor przez npm/VS Code/IDE zwiększa ryzyko dla zespołów R&D i CI/CD; paralela do kampanii opisywanych przez Unit 42 i Talos.

Rekomendacje operacyjne / co zrobić teraz

Detection & telemetry

  • Egress/DNS/HTTP(S): profiluj i blokuj nietypowe połączenia do publicznych API blockchain (np. etherscan.io, bscscan.com, komercyjni providerzy RPC), jeśli hosty nie są potrzebne biznesowo. Twórz wyjątki per zespół krypto.
  • Content inspection: YARA/Detections na artefakty JADESNOW/INVISIBLEFERRET oraz sekwencje Base64+XOR w JS; hunting na wywołania Web3 (eth_call, eth_getLogs) z kontekstu przeglądarki/Node.
  • IDE & package security: enforce’uj blokady pobierania paczek npm z niezatwierdzonych źródeł; skanery SCA/typosquatting; monitoruj podejrzane rozszerzenia VS Code. (Zbieżne z obserwacjami Talos i Unit 42).

Hardening & procesy

  • Separacja środowisk dev: kontenery/VM z ograniczeniami sieciowymi; brak dostępu do kluczy produkcyjnych i walletów z maszyn deweloperskich.
  • Polityka RPC: jeżeli Web3 jest wymagane, kieruj ruch przez własne bramki/proxy z inspekcją i listą dozwolonych adresów kontraktów.
  • AppSec: CSP/Trusted Types, blokowanie wstrzyknięć JS na stronach WWW, ochrona WordPress (CLEARFAKE wciąż infekuje serwisy).
  • Szkolenia & Playbooks: tabletop wokół „fałszywej rekrutacji”, weryfikacja zadań technicznych, zasada „no binary from chat/IM”, procedury IR dla łańcuchów Web3.

IOC/Threat intel

  • Wykorzystaj wskazane przez Google adresy kontraktów/artefakty (np. przykładowy adres BSC z analizy) do budowy reguł blocklist i TI – pamiętając, że atakujący mogą szybko zmieniać wartości on-chain.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • CLEARFAKE (UNC5142, 2023–): motywacja finansowa, infekcje WordPress i fałszywe aktualizacje przeglądarki; EtherHiding było tam nośnikiem infostealerów. UNC5342 (2025): adopcja przez aktora państwowego, wektor rekrutacyjny na devów, łańcuch z JADESNOW → INVISIBLEFERRET i kradzieże krypto.
  • BeaverTail/OtterCookie (Talos): inny klaster DPRK ukierunkowany na deweloperów; wspólne TTP (fałszywe oferty pracy, npm), ale niekoniecznie używa EtherHiding. Pokazuje jednak szeroką dywersyfikację narzędzi DPRK.

Podsumowanie / kluczowe wnioski

EtherHiding przenosi delivery/C2 do warstwy, której nie można „wyłączyć”. Wejście aktora państwowego do gry (UNC5342) przyspieszy adopcję tej techniki w APT i cyberprzestępczości. Obrona musi przestawić się na kontrolę dostępu do providerów RPC/API, hunting artefaktów Web3 w JS i twarde procesy bezpieczeństwa w zespołach deweloperskich.

Źródła / bibliografia

  1. Google Cloud Blog (GTIG/Mandiant): DPRK Adopts EtherHiding: Nation-State Malware Hiding on Blockchains, 16.10.2025. (Google Cloud)
  2. The Record (Recorded Future News): North Korean hackers seen using blockchain to hide crypto-stealing malware, 16.10.2025. (The Record from Recorded Future)
  3. Guardio Labs: Hiding Web2 Malicious Code in Web3 Smart Contracts (EtherHiding), 13.10.2023. (Guardio)
  4. Palo Alto Networks Unit 42: Contagious Interview – DPRK Threat Actors Lure Tech Job Seekers as Fake Recruiters, 09.10.2024. (Unit 42)
  5. Cisco Talos: BeaverTail and OtterCookie evolve with a new JavaScript module, 16.10.2025. (Cisco Talos Blog)

Krytyczna luka w SAP NetWeaver (CVE-2025-42944): deserializacja przez RMI-P4 pozwala na przejęcie serwera bez logowania

Wprowadzenie do problemu / definicja luki

W SAP NetWeaver AS Java ujawniono krytyczną podatność CVE-2025-42944 (CVSS 10.0), klasy insecure deserialization. Atakujący bez uwierzytelnienia mogą przesłać złośliwy ładunek do modułu RMI-P4 nasłuchującego na otwartym porcie i osiągnąć wykonanie poleceń w systemie operacyjnym serwera SAP. SAP ujęło problem w październikowym Patch Day jako aktualizację noty bezpieczeństwa (pierwsza poprawka wyszła we wrześniu 2025).

W skrócie

  • Identyfikator: CVE-2025-42944
  • Skala: CVSS 10.0 (krytyczna)
  • Komponent: SAP NetWeaver AS Java, interfejs RMI-P4
  • Wymagania ataku: brak uwierzytelnienia, zasięg sieciowy
  • Skutek: zdalne wykonanie kodu / komend OS, pełne przejęcie instancji
  • Status poprawek: poprawki opublikowane, uzupełnione w Patch Day październik 2025; systemy należy zaktualizować niezwłocznie.

Kontekst / historia / powiązania

Październikowy Patch Day SAP przyniósł pakiet łatek, w tym ponowne wzmocnienie zabezpieczeń wobec deserializacji w NetWeaver AS Java (CVE-2025-42944), a także korekty innych komponentów (m.in. SAP Print Service, SAP GUI for HTML, CSRF w AS ABAP). To sugeruje, że producent domyka scenariusze obejściowe względem pierwotnej poprawki z września.

W ostatnich miesiącach ekosystem SAP zmagał się z aktywnie wykorzystywanymi podatnościami, m.in. w Visual Composer (CVE-2025-31324, CVSS 10.0), która umożliwiała nieautoryzowany upload binariów i była łączona w łańcuchy RCE przez grupy APT. To podnosi wagę szybkiego patchowania NetWeavera oraz twardych kontroli na perymetrze.

Analiza techniczna / szczegóły luki

  • Klasa błędu: insecure deserialization w stosie Java.
  • Powierzchnia ataku: RMI-P4 — protokół komunikacyjny używany przez NetWeaver AS Java. Usługa nasłuchuje na interfejsie sieciowym i przetwarza przesyłane obiekty.
  • Warunki powodzenia: atak z sieci (zewnętrznej lub wewnętrznej), brak potrzeby posiadania konta SAP; dostarczenie specjalnie spreparowanego strumienia serializacji do otwartego portu RMI-P4.
  • Efekt: zainicjowanie łańcuchów deserializacji prowadzących do wykonania kodu/komend OS w kontekście procesu serwera aplikacyjnego.
  • Łatka październikowa: rozszerza ochronę wobec scenariuszy, których nie obejmowała łatka wrześniowa (tzw. defense-in-depth i/lub domknięcie wektorów obejścia).

Uwaga: szczegółowe artefakty (np. klasy, gadżety deserializacyjne) nie są publicznie opisane w notach SAP. Organizacje powinny polegać na oficjalnych poprawkach i kontrolach kompensacyjnych, nie na „sygnaturach” konkretnych łańcuchów.

Praktyczne konsekwencje / ryzyko

  • Pełne przejęcie instancji SAP AS Java, możliwość ruchu bocznego do systemów ABAP/S4 i baz danych.
  • Eksfiltracja danych (dane finansowe, HR, łańcuch dostaw), modyfikacje transakcji i integracji B2B.
  • Ransomware / sabotaż: zatrzymanie procesów biznesowych o krytycznym znaczeniu (ERP, SRM, BW/BOBJ).
  • Ryzyko CRQ/SoD: ominięcie mechanizmów autoryzacji dzięki wykonaniu kodu poza kontrolą aplikacyjną.
    Te wnioski wynikają z klasy błędu (RCE bez uwierzytelnienia) i roli NetWeavera w krajobrazie SAP oraz obserwowanej wcześniej aktywności wobec komponentów NetWeaver (np. Visual Composer).

Rekomendacje operacyjne / co zrobić teraz

1) Patchowanie (priorytet najwyższy)

  • Zastosuj październikowe poprawki SAP dla NetWeaver AS Java odnoszące się do CVE-2025-42944 (w tym aktualizację noty z września). Zweryfikuj, że wszystkie węzły/instancje w klastrze zostały zaktualizowane.

2) Ograniczenie ekspozycji RMI-P4

  • Ogranicz dostęp do interfejsu RMI-P4 do zaufanych sieci (ACL, segmentacja, WAF/Reverse Proxy/SAP Web Dispatcher), wyłącz zbędne usługi i protokoły zdalne.

3) Twardnienie i detekcja

  • Włącz wzmożone logowanie w AS Java i centralną korelację (SIEM).
  • Monitoruj nietypowe połączenia do portu usługi RMI-P4 i wzorce deserializacji/uruchamiania powłok.
  • Stosuj reguły EDR/NDR pod kątem: uruchomień interpreterów, living-off-the-land, tunelowania RMI, subsekwentnych połączeń do C2.
  • Przegląd praw i kluczy usługowych używanych przez integracje (minimalizacja szkód przy ewentualnym włamaniu).

4) Testy regresyjne i skany zgodności

  • Po aktualizacji wykonaj testy techniczne i biznesowe (interfejsy, RFC, JMS).
  • Zaktualizuj skanery i polityki zgodności (np. aby wykrywać stare wersje komponentów AS Java).

5) Zarządzanie ryzykiem

  • Dodaj CVE-2025-42944 do wewnętrznego rejestru ryzyka i KPI „patch SLA” dla systemów Internet-facing.
  • Przeprowadź table-top exercise dla scenariusza przejęcia AS Java i ruchu bocznego do krańcowych systemów finansowych.

Różnice / porównania z innymi przypadkami

  • CVE-2025-42944 (NetWeaver AS Java, RMI-P4, deserializacja, bez uwierzytelnienia) — RCE z sieci; krytyczne i pre-auth.
  • CVE-2025-31324 (Visual Composer, upload pliku) — również bardzo ciężkie (CVSS 10.0), często łączone w łańcuchy ataku; potwierdzona aktywna eksploatacja w 2025 r.
  • Inne łatki z Patch Day październik 2025 obejmują m.in. SAP Print Service (Directory Traversal, CVSS 9.8) oraz aktualizacje ABAP/GUI i CSRF — ważne, ale o innych wektorach.

Podsumowanie / kluczowe wnioski

  • CVE-2025-42944 to krytyczna, pre-auth RCE w SAP NetWeaver AS Java przez RMI-P4.
  • SAP wydało poprawki we wrześniu i dodatkowe zabezpieczenia w październiku 2025 — należy wdrożyć natychmiast i ograniczyć ekspozycję usług zdalnych.
  • Historia ostatnich ataków na NetWeaver (np. CVE-2025-31324) pokazuje, że opóźnienia w patchowaniu szybko przekładają się na kompromitacje.

Źródła / bibliografia

  1. The Hacker News — „New SAP NetWeaver Bug Lets Attackers Take Over Servers Without Login” (15 paź 2025). (The Hacker News)
  2. SAP — „Security Patch Day — October 2025” (aktualizacja not bezpieczeństwa, 2 dni temu). (support.sap.com)
  3. SecurityWeek — „SAP Patches Critical Vulnerabilities in NetWeaver, Print Service, SRM” (konkret dot. CVE-2025-42944 i uzupełnień październikowych). (SecurityWeek)
  4. Onapsis — „SAP Security Patch Day — October 2025” (tło do innych krytycznych poprawek i priorytetyzacja). (Onapsis)
  5. Onapsis / CISA — materiały dot. wcześniejszej, aktywnie wykorzystywanej luki CVE-2025-31324 (kontekst zagrożeń dla NetWeaver). (Onapsis)

Adobe łata krytyczną podatność w pakiecie współpracy (Connect). Co powinni zrobić administratorzy?

Wprowadzenie do problemu / definicja luki

Adobe opublikowało poprawki bezpieczeństwa usuwające krytyczną lukę w Adobe Connect, platformie do wirtualnych spotkań i webinarów. Najpoważniejszy błąd to DOM-based XSS (CVE-2025-49553), oceniony na CVSS 9.3, który – przy odpowiedniej sekwencji działań – może prowadzić do zdalnego wykonania kodu (RCE) po stronie klienta. Łatka jest dostępna w wydaniu Adobe Connect 12.10.

W skrócie

  • Produkty/wersje: Adobe Connect 12.9 i starsze na Windows i macOS. Naprawa w 12.10.
  • Najpoważniejsza luka: CVE-2025-49553 (DOM-XSS, CVSS 9.3) → możliwość wykonania kodu. Dodatkowo CVE-2025-49552 (DOM-XSS, CVSS 7.3) oraz CVE-2025-54196 (open redirect, CVSS 3.1).
  • Status exploitów: brak informacji o aktywnym wykorzystywaniu w środowisku produkcyjnym.
  • Szeroki kontekst: w tym samym cyklu Adobe załatało ponad 35 luk w różnych produktach (m.in. Illustrator, Bridge, Animate).

Kontekst / historia / powiązania

Aktualizacja jest częścią październikowego cyklu łatkowania (Patch Tuesday). Poza Connect, Adobe opublikowało również biuletyny dla innych aplikacji kreatywnych – np. Illustrator (APSB25-102) – gdzie wyeliminowano luki prowadzące do RCE. To potwierdza, że ekosystem Adobe regularnie otrzymuje zbiorcze poprawki obejmujące zarówno narzędzia biurowo-kolaboracyjne, jak i kreatywne.

Analiza techniczna / szczegóły luki

Zgodnie z biuletynem APSB25-70 dla Adobe Connect:

  • CVE-2025-49553 – DOM-based XSS (CWE-79), CVSS 9.3, krytyczna: atakujący może dostarczyć spreparowany ładunek (np. przez złośliwy link lub wstrzyknięty skrypt), który po interakcji użytkownika uruchomi się w kontekście przeglądarki i umożliwi wykonanie kodu, kradzież tokenów sesyjnych, eskalację działań w ramach aplikacji itp. Wektor: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N.
  • CVE-2025-49552 – DOM-based XSS (CWE-79), CVSS 7.3: podobna kategoria, ale wymaga wyższych uprawnień i trudniejszych warunków do skutecznej eksploatacji.
  • CVE-2025-54196 – Open Redirect (CWE-601), CVSS 3.1: umożliwia przekierowanie użytkownika na niezweryfikowany adres (sprzyja phishingowi, kradzieży poświadczeń).

SecurityWeek potwierdza, że poprawki dla Connect dostarczono w wersji 12.10, równolegle z pakietem innych biuletynów (łącznie >35 luk).

Praktyczne konsekwencje / ryzyko

  • Ryzyko kompromitacji sesji i kont: DOM-XSS w aplikacjach webowych do spotkań pozwala na kradzież tokenów, wstrzyknięcie skryptów śledzących, przejęcie uprawnień w ramach aplikacji (np. moderowanie pokoju, dostęp do nagrań, materiałów).
  • Łańcuchowe nadużycia: Open Redirect ułatwia kampanie spear-phishingowe kierujące do stron wyłudzających MFA lub SSO, co może stać się etapem wstępnym do BEC/APT.
  • Ekspozycja w organizacjach hybrydowych: Connect jest często publikowany w internecie (dla gości/webinarów), co obniża próg dotarcia atakującego. (Wniosek na podstawie charakteru produktu i biuletynu.)

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowa aktualizacja do Connect 12.10 na wszystkich hostach (Windows/macOS). Zweryfikuj zgodność w środowiskach testowych, ale nie odkładaj wdrożenia w produkcji.
  2. Twarde EDR/AV i polityki przeglądarek na stacjach prowadzących webinary (sandboxing, blokada niechcianych rozszerzeń, CSP gdzie to możliwe po stronie serwera).
  3. Higiena linków w zaproszeniach: generuj linki do spotkań wyłącznie z oficjalnych domen; skanuj treści opisów/webinarów pod kątem wstrzyknięć HTML/JS (reguły WAF).
  4. Monitorowanie anomalii:
    • Reguły SIEM/UEBA pod kliknięcia w nieoczekiwane linki przekierowujące (HTTP 3xx do domen spoza allowlisty).
    • Alarmy na zmianę ról w pokojach, nietypowe pobrania nagrań, masowe zaproszenia.
  5. Szkolenia dla prowadzących: znakowanie zewnętrznych prelegentów, weryfikacja materiałów, unikanie osadzania niezweryfikowanych skryptów/iframe.
  6. Przegląd innych biuletynów Adobe z tego cyklu (np. Illustrator) i zaplanowanie zbiorczego okna serwisowego — w październiku lista luk przekracza 35 pozycji.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W poprzednich miesiącach najgłośniejsze poprawki Adobe dotyczyły m.in. ColdFusion i Commerce/Magento (RCE, obejścia zabezpieczeń). Obecna runda przesuwa uwagę na warstwę kolaboracji (Connect), gdzie typowym ryzykiem są ataki webowe (XSS/redirect), a nie serwerowe luki w interpreterach czy komponentach backendowych. To wymaga innego zestawu kontroli – więcej CSP/WAF, przeglądarkowej telemetrii i higieny linków – zamiast samych hardeningów aplikacyjnych.

Podsumowanie / kluczowe wnioski

  • Zaktualizuj do Connect 12.10 – to jedyny skuteczny sposób eliminacji CVE-2025-49553 i powiązanych luk.
  • Traktuj Connect jak krytyczną aplikację webową: CSP, WAF, monitorowanie przekierowań i tokenów.
  • W tym samym cyklu Adobe łata >35 luk w innych produktach – zaplanuj zbiorczy maintenance window zamiast ad-hoc instalacji.

Źródła / bibliografia

  • Adobe Security Bulletin – APSB25-70: Security update available for Adobe Connect (CVE-2025-49552, CVE-2025-49553, CVE-2025-54196; wersje i CVSS). Adobe Help Centre
  • SecurityWeek: Adobe Patches Critical Vulnerability in Connect Collaboration Suite (przegląd, skala poprawek >35 luk, kontekst). SecurityWeek
  • Adobe – APSB25-102: Security Updates Available for Adobe Illustrator (przykład innych produktów załatanych w tym cyklu). Adobe Help Centre
  • Qualys Blog – Patch Tuesday (październik 2025) (kontekst zbiorczy aktualizacji tego miesiąca). Qualys
  • The Cyber Express – Adobe Security Update (zestawienie CVE dla Connect; źródło wtórne). The Cyber Express

F5 obwinia „aktorów państwowych” o kradzież kodu źródłowego i danych o podatnościach BIG-IP

Wprowadzenie do problemu / definicja incydentu

15 października 2025 r. F5 ujawniło w raporcie Form 8-K oraz komunikacie do klientów, że wysoce zaawansowany, prawdopodobnie sponsorowany przez państwo napastnik utrzymywał długotrwały dostęp do wybranych systemów firmy, m.in. do środowiska rozwoju BIG-IP i platform wiedzy inżynierskiej. Z systemów tych wyeksfiltrowano pliki zawierające fragmenty kodu źródłowego BIG-IP oraz informacje o niewydanych jeszcze podatnościach (niepublicznych). F5 twierdzi, że nie ma dowodów na modyfikację łańcucha dostaw (pipeline’y build/release), ani na dostęp do środowisk NGINX, Distributed Cloud czy Silverline.

O sprawie jako pierwsze szeroko doniosły branżowe media, wskazując także, że profil ataku może wskazywać na Chiny.

W skrócie

  • Kiedy wykryto: 9 sierpnia 2025 r.; ujawnienie odroczono za zgodą DOJ (Item 1.05(c) 8-K).
  • Co ukradziono: pliki z częściami kodu BIG-IP i informacjami o niewydanych podatnościach; częściowo także konfiguracje/implementacje niewielkiego odsetka klientów.
  • Czego nie stwierdzono: brak dowodów na modyfikację supply chain, brak dostępu do CRM/finansów/iHealth/wsparcia; brak oznak aktywnego wykorzystywania „nieujawnionych krytycznych/ RCE” podatności F5.
  • Aktualizacje/łagodzenie: opublikowano zbiorcze biuletyny/aktualizacje październikowe dla BIG-IP, F5OS, BIG-IP Next, BIG-IQ i APM; F5 zaleca natychmiastowe wdrożenie.
  • Potwierdzenia zewnętrzne: media i niezależne serwisy powtórzyły główne tezy; NCSC wydało krótką notę z zaleceniem pilnych aktualizacji.

Kontekst / historia / powiązania

Urządzenia i oprogramowanie F5 BIG-IP od lat znajdują się w centrum uwagi APT i cyberprzestępców (m.in. fale exploitacji CVE-2020-5902, CVE-2022-1388 czy pary CVE-2023-46747/-46748). Trwałe utrzymanie się napastników w środowiskach wykorzystujących BIG-IP bywało wcześniej wiązane z chińsko-języcznymi grupami (np. kampania „Velvet Ant” z wykorzystaniem starszych urządzeń F5 dla utrzymania persystencji). Dzisiejszy incydent wpisuje się w ten trend polowania na źródła i wiedzę o 0-day u producentów.

Analiza techniczna / szczegóły luki

Z udostępnionego klientom oświadczenia (Exhibit 99.1 do 8-K) wynika, że:

  • Atakujący posiadali długoterminową persystencję w sieci F5, obejmującą repozytoria kodu i systemy KM.
  • Eksfiltracja objęła m.in. fragmenty kodu BIG-IP oraz opisy/artefakty podatności będących „w toku” (nieopublikowanych).
  • F5 nie zidentyfikowało dowodów na naruszenie łańcucha dostaw (źródła, build’y, pipeline’y), co potwierdziły niezależne audyty NCC Group i IOActive.
  • Brak dowodów na dostęp do NGINX oraz usług chmurowych F5, co ogranicza bezpośredni wektor supply-chain dla tych linii.

Choć firma podkreśla brak wiedzy o krytycznych/RCE nieujawnionych błędach, sama kradzież wiedzy o lukach zwiększa prawdopodobieństwo samodzielnego opracowania exploitów przez APT przed publikacją biuletynów („pre-disclosure weaponization”). To klasyczny wyścig z czasem: jeżeli opis podatności/patch różnicowy trafił do przeciwnika, okno narażenia dla klientów może się skrócić do tygodni lub dni.

Praktyczne konsekwencje / ryzyko

  • Ryzyko exploitów „day-(-1)” – użycie informacji o nieopublikowanych lukach F5 do cichych, ukierunkowanych wejść (szczególnie tam, gdzie konfiguracja BIG-IP bywa złożona i historycznie zaniedbana).
  • Rozpoznanie środowisk klientów – wyciek konfiguracji/implementacji części organizacji ułatwia lateral movement i selektywne omijanie WAF/ASM/AFM/APM.
  • Reputacyjne i regulacyjne – formalne ujawnienie w 8-K oznacza „material event” z potencjalnym wpływem na decyzje użytkowników i rynków; samo F5 ocenia na dziś brak istotnego wpływu operacyjnego.
  • Fala skanowania i prób dostępu – po medialnym nagłośnieniu zwykle rośnie aktywność botnetów i „copy-cats”.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowe aktualizacje: wdrożyć październikowe wydania dla BIG-IP/F5OS/BIG-IP Next/BIG-IQ/APM zgodnie z biuletynem F5. Zaplanuj rolling upgrade i weryfikację po-update’ową.
  2. Threat hunting pod kątem F5:
    • Przejrzeć logi TMOS/ASM/APM oraz syslog z event streaming do SIEM (zgodnie z KB F5 – wzorce: logowania admin, nieudane auth, zmiany uprawnień/konfiguracji).
    • Użyć zaleceń F5 dot. twardnienia (hardening checks w iHealth) i porównać z własnymi benchmarkami.
  3. Segmentacja i kontrola dostępu: odseparować interfejsy zarządcze BIG-IP (Mgmt/SSH/TMU) od sieci produkcyjnych, wymusić MFA i listy dozwolonych.
  4. Repozytoria i tajemnice: skontrolować własne integracje CI/CD z BIG-IP (np. AS3/DO/FAST). Zmienić poświadczenia, tokeny API, klucze iControl REST.
  5. Atesty konfiguracji klientów: jeśli korzystasz z partnerów/Integratorów, zażądaj potwierdzenia, że nie używali artefaktów/fragmentów konfigów podatnych na wyciek.
  6. Monitoring exploitów: śledzić biuletyny CISA KEV i krajowe CERT-y; NCSC rekomenduje pilne wdrożenie poprawek F5.
  7. Plan awaryjny: przygotować playbook „virtual patching” na F5 (np. tymczasowe iRules/policy WAF) w razie pojawienia się PoC przed pełnym patchem.

Różnice / porównania z innymi przypadkami

  • SolarWinds/3CX – głęboka manipulacja supply chain; tutaj F5 i niezależne audyty raportują brak modyfikacji pipeline’ów i artefaktów wydań, co zmniejsza ryzyko „zatrutych” aktualizacji.
  • Wycieki „knowledge-base” u dostawców (np. przypadki wiązane z MAPP/SharePoint) – wspólny motyw to pozyskanie wiedzy o 0-day przed publikacją, a niekoniecznie natychmiastowe uderzenie supply-chain. W doniesieniach prasowych o incydencie F5 przewija się hipoteza o aktorze z Chin, spójna z wcześniejszymi kampaniami przeciw producentom infrastruktury.

Podsumowanie / kluczowe wnioski

  • Incydent nie wygląda na kompromitację łańcucha dostaw, ale na wyciek kodu i „researchu” o lukach – co nadal jest poważnym zagrożeniem.
  • Czas działa na korzyść obrońców tylko wtedy, gdy szybko wdrożą aktualizacje i wymuszą twardnienie/monitoring zgodnie z zaleceniami F5.
  • Organizacje z krytycznymi wdrożeniami BIG-IP powinny traktować najbliższe tygodnie jako okres podwyższonego czuwania i aktywnie polować na anomalie.

Źródła / bibliografia

  1. F5 – Security Incident: Disclosure Statement (Exhibit 99.1 do 8-K, 15.10.2025) – szczegóły o eksfiltracji, produktach i zaleceniach. (SEC)
  2. SEC EDGAR – F5, Inc. Form 8-K (15.10.2025) – formalne zgłoszenie incydentu (Item 1.05). (SEC)
  3. SecurityWeek (15.10.2025) – przegląd incydentu i wskazanie na profil ataku sugerujący Chiny. (SecurityWeek)
  4. BleepingComputer (15.10.2025) – streszczenie zakresu eksfiltracji i harmonogramu wykrycia. (BleepingComputer)
  5. NCSC (UK) – nota potwierdzająca kompromitację i zalecająca wdrożenie aktualizacji. (NCSC)

CISA dodaje 5 nowych luk do katalogu KEV (14 października 2025) — co to oznacza dla Twojej organizacji

Wprowadzenie do problemu / definicja luki

14 października 2025 r. amerykańska CISA dodała pięć nowych, aktywnie wykorzystywanych luk do katalogu Known Exploited Vulnerabilities (KEV). Dodanie do KEV oznacza, że istnieją wiarygodne dowody nadużyć „in the wild”, a dla agencji federalnych wyznaczany jest twardy termin remediacji zgodnie z dyrektywą BOD 22-01. W praktyce to także sygnał „patch now” dla sektora prywatnego.

W skrócie

  • Nowe CVE w KEV (5):
    • CVE-2025-24990 — Windows (sterownik Agere Modem, „untrusted pointer dereference”).
    • CVE-2025-47827IGEL OS 10 (obejście Secure Boot przez użycie klucza po dacie ważności).
    • CVE-2025-59230 — Windows Remote Access Connection Manager (podniesienie uprawnień).
    • CVE-2016-7836SKYSEA Client View (zdalne wykonanie kodu, CVSS 9.8).
    • CVE-2025-6264Rapid7 Velociraptor (błędne domyślne uprawnienia → wykonanie poleceń).
  • Dlaczego teraz? Fala wpisów koreluje z październikowym Patch Tuesday (Microsoft) i świeżymi obserwacjami nadużyć (m.in. Velociraptor w incydentach ransomware).
  • Termin (FCEB): dla nowych pozycji z 14.10.2025 CISA wyznacza deadline 4 listopada 2025. To dobra praktyka także dla firm prywatnych.

Kontekst / historia / powiązania

Katalog KEV to „lista wstydu” produktów z lukami, które naprawdę są wykorzystywane. Wpis do KEV wymusza na podmiotach federalnych priorytetową remediację (zwykle w 21 dni), a w wyjątkowych sytuacjach — szybciej. W 2025 r. KEV był wielokrotnie uzupełniany falami po Patch Tuesday oraz po publicznych raportach o nadużyciach (np. ransomware wykorzystujący Velociraptor).

Analiza techniczna / szczegóły luki

1) CVE-2025-24990 — Microsoft Windows (sterownik Agere Modem)

  • Typ/efekt: dereferencja niezaufanego wskaźnika w sterowniku, potencjalne EoP/RCE w zależności od kontekstu wywołania.
  • Kontekst: sterownik jest dostarczany z wieloma wersjami Windows; Microsoft oznaczył problem jako eksploatowany.
  • Działania: usuń/wyłącz sterownik tam, gdzie niepotrzebny; zastosuj poprawki Microsoftu.

2) CVE-2025-47827 — IGEL OS 10 (Secure Boot bypass)

  • Typ/efekt: bypass Secure Boot — użycie klucza po dacie ważności w module igel-flash-driver umożliwia podmianę obrazu rootfs (SquashFS) i uruchomienie niepodpisanego systemu.
  • Wpływ: fizyczny napastnik może osiągnąć trwałą, wczesną persystencję (bootkit).
  • Termin KEV: dodane 14.10 → due 04.11.2025 (wpis CISA odnotowany w NVD).
  • Działania: aktualizacja do IGEL OS v11+; wymuszenie poprawnego łańcucha zaufania i weryfikacji podpisów.

3) CVE-2025-59230 — Windows RASMAN (Elevation of Privilege)

  • Typ/efekt: Improper Access Control → lokalne EoP do SYSTEM.
  • Wektor: lokalny, niski poziom złożoności (AC:L).
  • Działania: wdrożyć poprawki z październikowego Patch Tuesday; uzupełnić detekcje na nietypowe użycia usług RAS.

4) CVE-2016-7836 — SKYSEA Client View (RCE)

  • Typ/efekt: Improper Authentication w połączeniu TCP z konsolą zarządzającą → RCE bez uwierzytelnienia; CVSS 3.x: 9.8 (CRITICAL).
  • Status KEV: dodane 14.10.2025 z terminem 04.11.2025.
  • Działania: aktualizacja powyżej wersji 11.221.03; segmentacja sieci, ograniczenie dostępu do portów zarządzania.

5) CVE-2025-6264 — Rapid7 Velociraptor (default permissions)

  • Typ/efekt: artefakt Admin.Client.UpdateClientConfig nie wymagał dodatkowego uprawnienia; użytkownik z rolą Investigator mógł zdalnie zaktualizować konfigurację klienta i wykonać polecenia → przejęcie endpointu.
  • Kontekst nadużyć: wykorzystywane w realnych atakach (m.in. kampanie ransomware); wpis do KEV z terminem 04.11.2025.
  • Działania: aktualizacja do wersji z łatką; przegląd ról/uprawnień i artefaktów; telemetria na „nietypowe” aktualizacje konfiguracji klienta.

Praktyczne konsekwencje / ryzyko

  • Łańcuchy ataków mieszanych: lokalne EoP w Windows (CVE-2025-59230, CVE-2025-24990) świetnie łączą się z ucieczkami z przeglądarek/aplikacji jako etap 2 eskalacji.
  • Uderzenie w kontrolę rozruchu: obejście Secure Boot (IGEL) umożliwia „pre-EDR” trwałość — klasyczne narzędzie APT i operatorów ransomware.
  • Nadużywanie narzędzi „dobrych”: Velociraptor w rękach napastnika zmniejsza szanse detekcji (Living-off-the-Land Tooling).
  • Dziedzictwo w środowisku: stary SKYSEA (2016) pokazuje, że legacy potrafi wrócić jako „nowo” eksploatowane, jeśli pozostało w ekosystemie.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytet łatania do 4 listopada 2025 (lub szybciej w środowiskach wysokiego ryzyka):
    • Windows: wdrożyć pełny zestaw poprawek z Patch Tuesday (X.2025); osobno usunąć/wyłączyć sterownik Agere tam, gdzie niepotrzebny.
    • IGEL OS: aktualizacja do v11+, weryfikacja implementacji Secure Boot, odświeżenie kluczy.
    • Velociraptor: aktualizacja do wersji z łatką; przegląd ról (odebranie zbędnego COLLECT_CLIENT), ograniczenie artefaktów administracyjnych; monitorowanie nietypowych update’ów konfiguracji.
    • SKYSEA: aktualizacja powyżej 11.221.03; izolacja hostów zarządzania; wymuszenie TLS i list ACL na portach zarządzania.
  2. Detekcja i hunting (propozycje szybkich use-case’ów):
    • Windows EoP: nietypowe uruchomienia/usługi RAS, anomalie w sterownikach, ładowanie ltmdm64.sys (Agere).
    • IGEL: integralność łańcucha rozruchu, zmiany w partycji rozruchowej, niestandardowe obrazy SquashFS.
    • Velociraptor: zdarzenia „UpdateClientConfig”, modyfikacje polityk klienta, uruchomienia powłoki/VS Code z procesu agenta.
  3. Higiena uprawnień i ekspozycji: minimalizacja ról „Investigator” w Velociraptorze; ograniczenie dostępu do konsol (SKYSEA) sieciowo i VPN; app allow-listing dla narzędzi z uprawnieniami systemowymi.
  4. Zarządzanie ryzykiem dostawców/OT: jeśli używasz IGEL lub SKYSEA w środowiskach kiosków/terminali/OT, zaplanuj okno serwisowe i rollback plan — obejście Secure Boot w terminalach może zniweczyć kontrolę zaufania na brzegu.

Różnice / porównania z innymi przypadkami

  • Stara luka, nowe nadużycia: CVE-2016-7836 (SKYSEA) przypomina inne „archeologiczne” wpisy KEV — podatności latami „znane”, ale wciąż wykorzystywane tam, gdzie oprogramowanie przetrwało w niszach.
  • LOLBIN vs. LOTool: w 2024–2025 dużo mówiliśmy o LOLBIN-ach; przypadek Velociraptora to LOTool — legalne narzędzie admina użyte jako wektor ataku (podobnie jak nadużycia RMM/EDR).

Podsumowanie / kluczowe wnioski

  • KEV = kolejka „MUST-DO”: pięć nowych pozycji to czytelny backlog na najbliższe dni.
  • Zwróć uwagę na łańcuch startowy i narzędzia admina (IGEL, Velociraptor) — to wektory o wysokiej wartości dla napastników.
  • Nie zapominaj o legacy: nawet „odległe” CVE (SKYSEA 2016) wracają, jeśli produkt nadal żyje w środowisku.
  • Termin dla FCEB: 4 listopada 2025 — rozsądny SLA także dla sektora prywatnego.

Źródła / bibliografia

  1. CISA — Strona główna (zapowiedź alertu z 14.10.2025). (CISA)
  2. NVD (NIST)CVE-2016-7836 (SKYSEA) — opis, CVSS 9.8, wpis do KEV z terminem 04.11.2025. (NVD)
  3. NVD (NIST)CVE-2025-59230 (Windows RASMAN) — opis EoP. (NVD)
  4. NVD (NIST)CVE-2025-6264 (Rapid7 Velociraptor) — opis błędnych uprawnień. (NVD)
  5. NVD/CVE.org / analizy Patch TuesdayCVE-2025-24990 (Agere driver) — rekord CVE; dodatkowy kontekst eksploatacji i rekomendacji z przeglądu Patch Tuesday (Tenable). (CVE)

Tajwan: NSB raportuje skok ataków cybernetycznych i operacji wpływu z Chin (2025)

Wprowadzenie do problemu / definicja luki

Tajwańskie Biuro Bezpieczeństwa Narodowego (NSB) przedstawiło parlamentowi raport o gwałtownym wzroście aktywności cybernetycznej i operacji wpływu przypisywanych Chinom. Administracja rządowa notuje średnio 2,8 mln prób naruszeń dziennie w 2025 r., co oznacza wzrost o 17% r/r. Główne cele to obronność, telekomunikacja, energia i systemy medyczne. Równolegle obserwowany jest rozwój „armii trolli” i kampanii dezinformacyjnych, coraz częściej wspieranych generatywną AI.

W skrócie

  • Skala: 2,8 mln zdarzeń/dzień w sieciach rządowych; +17% vs 2024.
  • Vektory: spear-phishing, exploity dnia zerowego/„niskiego dnia”, lateral movement, living-off-the-land (LOTL), ataki na łańcuch dostaw i konta chmurowe. (Wnioski na podstawie trendów PRC APT i raportów branżowych).
  • IO/psychowojna: skoordynowane sieci kont, memy i treści krótkie, narracje antyrządowe i anty-USA, rosnące użycie GenAI.
  • Cele sektorowe: obrona, telekom, energia, zdrowie – zarówno szpiegostwo, jak i przygotowanie pod operacje zakłócające.
  • Geopolityka: eskalacja oskarżeń dwustronnych PRC–TWN; incydenty informacyjne wykorzystywane do presji politycznej.

Kontekst / historia / powiązania

Wzmożona aktywność Chin wobec Tajwanu trwa od lat, ale 2024–2025 przyniosły intensyfikację działań: od kampanii dezinformacyjnych w cyklu wyborczym po działania psychologiczne i „nazywanie po nazwisku” przeciwników informacyjnych. Równocześnie Taipei publicznie ostrzegało, że Pekin wykorzystuje generatywne AI do skalowania wpływu w mediach społecznościowych i obniżania zaufania do sojuszu z USA.

Google TAG od lat śledzi sieć DRAGONBRIDGE (Spamouflage) – rozległy ekosystem pro-PRC, który rozlewa się na wiele platform. Mimo niskiego organicznego zaangażowania treści, skala i upór aktora czynią go użytecznym narzędziem saturującym informacyjnie przestrzeń publiczną.

Analiza techniczna / szczegóły luki

TTPs obserwowane/oczekiwane w tym kontekście:

  1. Wejście początkowe: spear-phishing z załącznikami Office/OneNote, linki do hostów złośliwych, nadużycia OAuth, ataki na słabe MFA/bez-MFA; zewnętrzne exploity w VPN/WAF/NGFW. (Uogólnienie na bazie kampanii PRC APT z ostatnich lat.)
  2. Utrzymanie i eskalacja: web-shell’e (np. China Chopper-like), implanty bezplikowe, LOLBins (PowerShell, WMI), kradzież tokenów chmurowych.
  3. Ruch boczny: RDP/SMB, nadużycia AD (DCSync, Golden/Silver Tickets), tunelowanie przez serwery C2 w chmurze.
  4. Cele danych: systemy rządowe i rejestry medyczne (PII/PHI), planowanie obronne, konfiguracje sieci krytycznych.

Warstwa informacyjna (IO):

  • Produkcja treści: krótkie wideo, memy, grafiki – coraz częściej generowane LLM/AI, co ułatwia lokalizację narracji.
  • Dystrybucja: wieloplatformowe sieci kont, cross-postowanie i „podsłony” kont, które TAG cyklicznie usuwa (np. aktywność DRAGONBRIDGE).
  • Narracje: krytyka władz Tajwanu, zniechęcanie do współpracy z USA, wzmacnianie treści pro-Pekin.

Praktyczne konsekwencje / ryzyko

  • Ryzyko operacyjne dla sektora publicznego: większe prawdopodobieństwo wycieku danych obywateli i informacji wrażliwych dot. obronności.
  • Krytyczna infrastruktura: ryzyko pre-positioning (zakładanie przyczółków na wypadek kryzysu), które może skutkować zakłóceniami w telekomunikacji, energii lub służbie zdrowia.
  • Środowisko informacyjne: obniżanie zaufania społecznego przez kampanie IO, trudniejsze różnicowanie prawdy/fałszu z powodu GenAI.
  • Ryzyko reputacyjne i prawne: eskalacja oskarżeń PRC↔TWN tworzy presję na transparentność i zgodność działań cyber w instytucjach publicznych i firmach współpracujących z rządem.

Rekomendacje operacyjne / co zrobić teraz

  1. Twardnienie dostępu:
    • Wymuszaj FIDO2/Passkeys + politykę „phishing-resistant MFA”; blokuj starsze protokoły (IMAP/POP).
    • Wdrażaj Conditional Access i segmentację dostępu uprzywilejowanego (PAW).
  2. Higiena chmurowa:
    • Monitoruj tokeny odświeżania, nadużycia OAuth, nieużywane aplikacje enterprise; rotuj klucze i sekretne zasoby regularnie.
  3. Patching priorytetowy:
    • „Top 10” ekspozycji perymetru: VPN, e-mail gateways, WAF/NGFW, publikowane serwisy IIS/Apache/Nginx; SLA <7 dni dla krytyków, <24 h przy exploitach „na wolności”.
  4. Detection & Response:
    • Reguły EDR/XDR dla LOLBins (PowerShell/WMI), token-theft, anomalii OAuth, nietypowego użycia certyfikatów i Mimikatz-like; hunt na web-shelle w katalogach niestandardowych.
    • Telemetria DNS/HTTP dla C2 w chmurze (VPS, storage, CDN) i rotating domains.
  5. Ochrona danych i ciągłość:
    • Segmentacja sieci, backup 3-2-1 + testy odtworzeniowe, szyfrowanie PII/PHI w spoczynku i w ruchu.
  6. Odporność informacyjna:
    • Playbooki reagowania na dezinformację: szybkie dementi, „prebunking” narracji, znakowanie treści syntetycznych, współpraca z platformami ds. nadużyć.
  7. Ćwiczenia i testy:
    • Purple-team z TTP aktorów PRC (spear-phish → web-shell → AD); testy tabletop z wątkiem IO (kto komunikuje co, kiedy i jak).
  • Tajwan vs. Zachód: część TTP (phishing, exploity perymetru) jest wspólna, ale skala i intensywność IO wobec Tajwanu jest wyższa ze względu na bliskość geopolityczną i długotrwały spór o suwerenność.
  • Rok 2025 vs. 2024: wzrost wolumenu ataków o ~17% i wyraźniejsze ślady użycia GenAI po stronie przeciwnika.

Podsumowanie / kluczowe wnioski

Tajwan raportuje rekordową presję w cyberprzestrzeni: miliony prób naruszeń dziennie oraz skoordynowane operacje wpływu, coraz częściej wsparte generatywną AI. Dla podmiotów publicznych i operatorów krytycznych to sygnał do podniesienia gotowości – od MFA odpornego na phishing, przez przyspieszone łatanie perymetru i zaawansowany hunting, po procedury reagowania na dezinformację i „prebunking”.

Źródła / bibliografia

  • The Record by Recorded Future – „Taiwan reports surge in Chinese cyber activity and influence operations”, 14 października 2025. (The Record from Recorded Future)
  • Reuters – „Taiwan flags rise in Chinese cyberattacks, warns of 'online troll army’”, 14 października 2025. (Reuters)
  • Taipei Times – „Government network hit by over 2.8 million cyberattacks a day”, 13–14 października 2025. (Taipei Times)
  • Google Threat Analysis Group (TAG) – „New efforts to disrupt DRAGONBRIDGE spam activity”, 26 czerwca 2024. (blog.google)
  • Reuters – „Taiwan says China using generative AI to ramp up disinformation…”, 8 kwietnia 2025. (Reuters)

GVM (Greenbone Vulnerability Management) – Kompletny Przewodnik

Czym jest GVM? Słyszałeś o OpenVas?

Greenbone Vulnerability Management (GVM) to otwartoźródłowy pakiet narzędzi do skanowania i zarządzania podatnościami w sieciach komputerowych. Projekt ten narodził się jako OpenVAS (Open Vulnerability Assessment System) – pierwotnie sam skaner podatności wywodzący się z otwartej wersji Nessusa. Z czasem firma Greenbone rozbudowała go o dodatkowe komponenty (zarządzanie wynikami, bazę danych, interfejs WWW) i przemianowała cały ekosystem na GVM, począwszy od wersji po OpenVAS 9.

Czytaj dalej „GVM (Greenbone Vulnerability Management) – Kompletny Przewodnik”