Wprowadzenie do problemu / definicja luki
14 października 2025 r. amerykańska CISA dodała pięć nowych, aktywnie wykorzystywanych luk do katalogu Known Exploited Vulnerabilities (KEV). Dodanie do KEV oznacza, że istnieją wiarygodne dowody nadużyć „in the wild”, a dla agencji federalnych wyznaczany jest twardy termin remediacji zgodnie z dyrektywą BOD 22-01. W praktyce to także sygnał „patch now” dla sektora prywatnego.
W skrócie
- Nowe CVE w KEV (5):
- CVE-2025-24990 — Windows (sterownik Agere Modem, „untrusted pointer dereference”).
- CVE-2025-47827 — IGEL OS 10 (obejście Secure Boot przez użycie klucza po dacie ważności).
- CVE-2025-59230 — Windows Remote Access Connection Manager (podniesienie uprawnień).
- CVE-2016-7836 — SKYSEA Client View (zdalne wykonanie kodu, CVSS 9.8).
- CVE-2025-6264 — Rapid7 Velociraptor (błędne domyślne uprawnienia → wykonanie poleceń).
- Dlaczego teraz? Fala wpisów koreluje z październikowym Patch Tuesday (Microsoft) i świeżymi obserwacjami nadużyć (m.in. Velociraptor w incydentach ransomware).
- Termin (FCEB): dla nowych pozycji z 14.10.2025 CISA wyznacza deadline 4 listopada 2025. To dobra praktyka także dla firm prywatnych.
Kontekst / historia / powiązania
Katalog KEV to „lista wstydu” produktów z lukami, które naprawdę są wykorzystywane. Wpis do KEV wymusza na podmiotach federalnych priorytetową remediację (zwykle w 21 dni), a w wyjątkowych sytuacjach — szybciej. W 2025 r. KEV był wielokrotnie uzupełniany falami po Patch Tuesday oraz po publicznych raportach o nadużyciach (np. ransomware wykorzystujący Velociraptor).
Analiza techniczna / szczegóły luki
1) CVE-2025-24990 — Microsoft Windows (sterownik Agere Modem)
- Typ/efekt: dereferencja niezaufanego wskaźnika w sterowniku, potencjalne EoP/RCE w zależności od kontekstu wywołania.
- Kontekst: sterownik jest dostarczany z wieloma wersjami Windows; Microsoft oznaczył problem jako eksploatowany.
- Działania: usuń/wyłącz sterownik tam, gdzie niepotrzebny; zastosuj poprawki Microsoftu.
2) CVE-2025-47827 — IGEL OS 10 (Secure Boot bypass)
- Typ/efekt: bypass Secure Boot — użycie klucza po dacie ważności w module
igel-flash-driverumożliwia podmianę obrazu rootfs (SquashFS) i uruchomienie niepodpisanego systemu. - Wpływ: fizyczny napastnik może osiągnąć trwałą, wczesną persystencję (bootkit).
- Termin KEV: dodane 14.10 → due 04.11.2025 (wpis CISA odnotowany w NVD).
- Działania: aktualizacja do IGEL OS v11+; wymuszenie poprawnego łańcucha zaufania i weryfikacji podpisów.
3) CVE-2025-59230 — Windows RASMAN (Elevation of Privilege)
- Typ/efekt: Improper Access Control → lokalne EoP do SYSTEM.
- Wektor: lokalny, niski poziom złożoności (AC:L).
- Działania: wdrożyć poprawki z październikowego Patch Tuesday; uzupełnić detekcje na nietypowe użycia usług RAS.
4) CVE-2016-7836 — SKYSEA Client View (RCE)
- Typ/efekt: Improper Authentication w połączeniu TCP z konsolą zarządzającą → RCE bez uwierzytelnienia; CVSS 3.x: 9.8 (CRITICAL).
- Status KEV: dodane 14.10.2025 z terminem 04.11.2025.
- Działania: aktualizacja powyżej wersji 11.221.03; segmentacja sieci, ograniczenie dostępu do portów zarządzania.
5) CVE-2025-6264 — Rapid7 Velociraptor (default permissions)
- Typ/efekt: artefakt Admin.Client.UpdateClientConfig nie wymagał dodatkowego uprawnienia; użytkownik z rolą Investigator mógł zdalnie zaktualizować konfigurację klienta i wykonać polecenia → przejęcie endpointu.
- Kontekst nadużyć: wykorzystywane w realnych atakach (m.in. kampanie ransomware); wpis do KEV z terminem 04.11.2025.
- Działania: aktualizacja do wersji z łatką; przegląd ról/uprawnień i artefaktów; telemetria na „nietypowe” aktualizacje konfiguracji klienta.
Praktyczne konsekwencje / ryzyko
- Łańcuchy ataków mieszanych: lokalne EoP w Windows (CVE-2025-59230, CVE-2025-24990) świetnie łączą się z ucieczkami z przeglądarek/aplikacji jako etap 2 eskalacji.
- Uderzenie w kontrolę rozruchu: obejście Secure Boot (IGEL) umożliwia „pre-EDR” trwałość — klasyczne narzędzie APT i operatorów ransomware.
- Nadużywanie narzędzi „dobrych”: Velociraptor w rękach napastnika zmniejsza szanse detekcji (Living-off-the-Land Tooling).
- Dziedzictwo w środowisku: stary SKYSEA (2016) pokazuje, że legacy potrafi wrócić jako „nowo” eksploatowane, jeśli pozostało w ekosystemie.
Rekomendacje operacyjne / co zrobić teraz
- Priorytet łatania do 4 listopada 2025 (lub szybciej w środowiskach wysokiego ryzyka):
- Windows: wdrożyć pełny zestaw poprawek z Patch Tuesday (X.2025); osobno usunąć/wyłączyć sterownik Agere tam, gdzie niepotrzebny.
- IGEL OS: aktualizacja do v11+, weryfikacja implementacji Secure Boot, odświeżenie kluczy.
- Velociraptor: aktualizacja do wersji z łatką; przegląd ról (odebranie zbędnego
COLLECT_CLIENT), ograniczenie artefaktów administracyjnych; monitorowanie nietypowych update’ów konfiguracji. - SKYSEA: aktualizacja powyżej 11.221.03; izolacja hostów zarządzania; wymuszenie TLS i list ACL na portach zarządzania.
- Detekcja i hunting (propozycje szybkich use-case’ów):
- Windows EoP: nietypowe uruchomienia/usługi RAS, anomalie w sterownikach, ładowanie ltmdm64.sys (Agere).
- IGEL: integralność łańcucha rozruchu, zmiany w partycji rozruchowej, niestandardowe obrazy SquashFS.
- Velociraptor: zdarzenia „UpdateClientConfig”, modyfikacje polityk klienta, uruchomienia powłoki/VS Code z procesu agenta.
- Higiena uprawnień i ekspozycji: minimalizacja ról „Investigator” w Velociraptorze; ograniczenie dostępu do konsol (SKYSEA) sieciowo i VPN; app allow-listing dla narzędzi z uprawnieniami systemowymi.
- Zarządzanie ryzykiem dostawców/OT: jeśli używasz IGEL lub SKYSEA w środowiskach kiosków/terminali/OT, zaplanuj okno serwisowe i rollback plan — obejście Secure Boot w terminalach może zniweczyć kontrolę zaufania na brzegu.
Różnice / porównania z innymi przypadkami
- Stara luka, nowe nadużycia: CVE-2016-7836 (SKYSEA) przypomina inne „archeologiczne” wpisy KEV — podatności latami „znane”, ale wciąż wykorzystywane tam, gdzie oprogramowanie przetrwało w niszach.
- LOLBIN vs. LOTool: w 2024–2025 dużo mówiliśmy o LOLBIN-ach; przypadek Velociraptora to LOTool — legalne narzędzie admina użyte jako wektor ataku (podobnie jak nadużycia RMM/EDR).
Podsumowanie / kluczowe wnioski
- KEV = kolejka „MUST-DO”: pięć nowych pozycji to czytelny backlog na najbliższe dni.
- Zwróć uwagę na łańcuch startowy i narzędzia admina (IGEL, Velociraptor) — to wektory o wysokiej wartości dla napastników.
- Nie zapominaj o legacy: nawet „odległe” CVE (SKYSEA 2016) wracają, jeśli produkt nadal żyje w środowisku.
- Termin dla FCEB: 4 listopada 2025 — rozsądny SLA także dla sektora prywatnego.
Źródła / bibliografia
- CISA — Strona główna (zapowiedź alertu z 14.10.2025). (CISA)
- NVD (NIST) — CVE-2016-7836 (SKYSEA) — opis, CVSS 9.8, wpis do KEV z terminem 04.11.2025. (NVD)
- NVD (NIST) — CVE-2025-59230 (Windows RASMAN) — opis EoP. (NVD)
- NVD (NIST) — CVE-2025-6264 (Rapid7 Velociraptor) — opis błędnych uprawnień. (NVD)
- NVD/CVE.org / analizy Patch Tuesday — CVE-2025-24990 (Agere driver) — rekord CVE; dodatkowy kontekst eksploatacji i rekomendacji z przeglądu Patch Tuesday (Tenable). (CVE)
