Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
W świecie cyberbezpieczeństwa Linux odgrywa szczególną rolę – to fundament wielu narzędzi i środowisk do testów bezpieczeństwa, analizy incydentów czy ochrony prywatności. Zwykła dystrybucja Ubuntu czy Fedora oczywiście może zostać wyposażona w potrzebne programy, ale istnieją gotowe systemy tworzone z myślą o konkretnych zadaniach.
Czytaj dalej „Specjalistyczne Dystrybucje Linuksa W Cyberbezpieczeństwie”
W świecie cyberbezpieczeństwa Blue Team często korzysta z matrycy MITRE ATT&CK do mapowania taktyk i technik ataków przeciwnika. A co z naszą własną defensywą? Czy potrafimy równie przejrzyście zobrazować, jak broni się nasza organizacja? W tym artykule zobaczymy, jak framework MITRE D3FEND pomaga zbudować wizualną mapę obrony – swoisty dashboard defensywny zespołu SOC. Zamiast domyślać się, gdzie mamy luki, zwizualizujemy techniki obrony tak, by od razu wskazać mocne punkty i obszary wymagające uwagi.
Czytaj dalej „Jak Zamienić MITRE D3FEND W Wizualne Mapy Obrony”
Szef Biura Budżetowego Kongresu USA (CBO), Phillip Swagel, zeznał 18 listopada 2025 r. przed Komisją Budżetową Izby Reprezentantów, że po wykrytym dwa tygodnie wcześniej incydencie napastnicy zostali usunięci z systemów pocztowych CBO, a agencja „działa normalnie” i nie obserwuje dalszych oznak nieautoryzowanego dostępu do e-maili. Trwa jednak dochodzenie przy udziale partnerów federalnych oraz prywatnych specjalistów ds. bezpieczeństwa.
Incydent w CBO wpisuje się w ciąg ataków na instytucje legislacyjne i administrację publiczną, gdzie e-mail pozostaje newralgicznym kanałem wymiany informacji i celem działań szpiegowskich. Po wstępnym potwierdzeniu naruszenia w dniach 6–7 listopada 2025 r. agencja informowała o działaniach zaradczych i ciągłości prac analitycznych na rzecz Kongresu. W międzyczasie biura kongresowe ograniczały kontakty e-mail z CBO do czasu potwierdzenia remediacji.
Szczegóły wektorów ataku nie zostały upublicznione. Z dotychczasowych oświadczeń i przekazu medialnego można jednak zrekonstruować kilka kluczowych faktów:
Uwaga: brak jawnych danych o wykorzystanych podatnościach (np. 0-day w kliencie poczty, nadużycie tokenów OAuth, BEC z przejęciem konta, itp.). Na tym etapie należy traktować scenariusze techniczne jako hipotezy, a nie potwierdzone fakty.
Dla instytucji publicznych i organizacji współpracujących z administracją:
(Rekomendacje uzupełniają publiczne komunikaty CBO o wdrożeniu dodatkowych kontroli i monitoringu po incydencie).
Google wydał awaryjną aktualizację przeglądarki Chrome, aby usunąć wysokiej wagi lukę CVE-2025-13223 w silniku JavaScript V8. Błąd ma charakter type confusion i jest już aktywnie wykorzystywany („exploit in the wild”). Łatka została udostępniona w wersjach 142.0.7444.175/.176 dla Windows, 142.0.7444.176 dla macOS oraz 142.0.7444.175 dla Linuksa.
To już siódmy zero-day w Chrome w 2025 r., jaki Google musiał łatać awaryjnie. Poprzednie przypadki obejmowały m.in. inne błędy w V8 oraz luki umożliwiające eskalację uprawnień lub ominięcie piaskownicy. Google tradycyjnie wstrzymuje publikację szczegółów technicznych do czasu rozpowszechnienia aktualizacji.
CVE-2025-13223 to błąd klasy type confusion w V8 (JS/WebAssembly). Tego typu podatności wynikają z nieprawidłowych założeń co do typu obiektu w czasie wykonania, co może prowadzić do błędów pamięci (heap corruption). W praktyce możliwe jest wyzwolenie podatności poprzez spreparowaną stronę HTML i uzyskanie zdalnego odczytu/zapisu pamięci procesu przeglądarki — w określonych warunkach aż do zdalnego wykonania kodu (RCE) lub obejścia izolacji.
Zakres dotkniętych wersji: Chrome przed 142.0.7444.175/176 (desktop). Dystrybucje i advisories (NVD, Ubuntu, NHS) potwierdzają charakter podatności i progi wersji.
Google w 2025 r. kilkukrotnie łatał zero-daye w V8. W odróżnieniu od wrześniowej luki CVE-2025-10585 (również type confusion), obecna podatność dotyczy gałęzi 142 i ma podobny wektor (spreparowany HTML/JS). W obu przypadkach Google ogranicza szczegóły do czasu powszechnego wdrożenia łatki.
Microsoft opublikował listopadowy pakiet poprawek zabezpieczeń obejmujący 63 luki (CVE) w Windows i komponentach ekosystemu (Office, Edge (Chromium), Azure Monitor Agent, Dynamics 365, Hyper-V, SQL Server, WSLg itd.). Wśród nich znajduje się jeden zero-day aktywnie wykorzystywany – CVE-2025-62215 (eskalacja uprawnień w jądrze Windows), a także kilka krytycznych RCE (m.in. GDI+ CVE-2025-60724) oraz podatności dotykających workflow deweloperskich i rozszerzeń z obszaru Copilot/Agentic AI.
W październiku 2025 Microsoft łatał rekordowe 172 luki, w tym kilka aktywnie wykorzystywanych. Listopad przynosi wyraźne uspokojenie liczby CVE, ale charakter błędów (kernel EoP, GDI+ 9.8, Office/Preview Pane, elementy chmury/agentów) sprawia, że ich priorytet operacyjny pozostaje wysoki. Różne serwisy raportują rozbieżne liczby (63/66/68/80) – wynika to m.in. z uwzględniania/nie uwzględniania CVE chromium/Edge, komponentów zewnętrznych i aktualizacji dokumentacyjnych. Najbardziej spójne i techniczne podsumowania dla adminów publikują ZDI i Tenable – w tym materiale opieramy się głównie na nich oraz na przeglądzie Briana Krebsa.
Wskazówka laboratoryjna (blue team): w telemetrii EDR szukaj anomalii w przełączaniu integrities (Low/Medium → SYSTEM), nietypowych uchwytów do urządzeń jądra i „daisy-chain” tuż po uruchomieniu niepodpisanego binarium z katalogów tymczasowych.
Higiena: sandboxing parserów dokumentów i ograniczenie uprawnień kont usługowych wykonujących podgląd/konwersję.
GPO (wyłączenie podglądu w Outlook):
Windows Registry Editor Version 5.00
; Outlook – wyłącz okienko podglądu
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Preferences]
"ReadingPaneOptions"=dword:00000000(W środowiskach korporacyjnych preferuj ADMX/Group Policy zamiast pojedynczych wpisów rejestru.)
Aktualizacja AMA z linii poleceń (Windows):
# Aktualizacja rozszerzenia Azure Monitor Agent na VM z Azure (Az module)
$vm = Get-AzVM -Name "prod-app-01" -ResourceGroupName "RG-Prod"
Set-AzVMExtension -ResourceGroupName $vm.ResourceGroupName -VMName $vm.Name `
-Name "AzureMonitorWindowsAgent" -Publisher "Microsoft.Azure.Monitor" `
-Type "AzureMonitorWindowsAgent" -TypeHandlerVersion "1.29" -AutoUpgradeMinorVersion $trueAktualizacja WSL:
wsl.exe --update
wsl.exe --status1) Patch management (priorytet A — 24/48 h):
2) Twardnienie pod „Preview Pane”:
3) Segmentacja parserów i usług plikowych:
4) WSLg i AMA:
wsl.exe --update w zadaniu harmonogramu po patchach OS.5) Dev tooling (VS/VS Code/Copilot):
Set-ExecutionPolicy AllSigned).6) Detections/telemetria (przykłady KQL/PowerShell):
DeviceProcessEvents
| where InitiatingProcessIntegrityLevel in ("Low","Medium")
| where ProcessIntegrityLevel == "System"
| where Timestamp > ago(3d)
| summarize count(), any(ProcessCommandLine) by DeviceName, InitiatingProcessFileName, ProcessNameDeviceFileEvents
| where Timestamp > ago(3d)
| where FileName matches regex @"\.(docx|xlsx|rtf|emf|wmf)$"
| where InitiatingProcessFileName in ("splwow64.exe","mspreview.exe","prevhost.exe","outlook.exe")
| summarize count() by DeviceName, InitiatingProcessFileName, FileName$computers = Get-ADComputer -Filter * | Select-Object -Expand Name
$results = foreach($c in $computers){
Invoke-Command -ComputerName $c -ScriptBlock {
Get-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Outlook\Preferences" `
-Name ReadingPaneOptions -ErrorAction SilentlyContinue
} | Select-Object PSComputerName, ReadingPaneOptions
}
$results | Export-Csv .\outlook_previewpane_status.csv -NoTypeInformationAnthropic upublicznił szczegóły kampanii cyberszpiegowskiej z września 2025 r., w której – według firmy – aktor powiązany z Chinami (oznaczony jako GTG-1002) wykorzystał narzędzie Claude Code jako „agentowego” wykonawcę działań operacyjnych. W szczycie operacji AI wykonywała „80–90%” pracy: od rekonesansu przez wyszukiwanie podatności, eksploatację, ruch boczny, aż po eksfiltrację i przygotowanie dokumentacji. To jeden z pierwszych upublicznionych przypadków, gdzie AI nie tylko „doradza”, ale realnie wykonuje łańcuch ataku na wielu celach równolegle.
W 2025 r. wielu dostawców raportowało o rosnącym udziale AI w operacjach ofensywnych – od generowania phishingu po automatyzację rekonesansu. Anthropic już latem opisywał „vibe hacking” (silna obecność człowieka w pętli), natomiast GTG-1002 to krok dalej: wykonawstwo AI przy minimalnym nadzorze. Doniesienia niezależnych redakcji (AP/ABC, SecurityWeek, The Register) potwierdzają narrację o dużej skali i „agentowym” charakterze użycia AI, przy jednoczesnym zastrzeżeniu, że liczba skutecznych włamań była ograniczona.
Architektura ataku (wg raportu Anthropic)
Co „złamało” bariery techniczne?
Ograniczenia zaobserwowane w operacji
1) Kontrole specyficzne dla „agentów AI”
2) Telemetria i detekcja (SOC)
Przykładowe „szyte na miarę” wykrycia dla agentów AI działających z waszej infrastruktury:
Sigma (Windows) – Nietypowa kaskada narzędzi enumeracyjnych przez jednego użytkownika w krótkim oknie czasu
title: AI-Agent Recon Burst
logsource:
product: windows
service: sysmon
detection:
selection_proc:
Image|endswith:
- '\nmap.exe'
- '\whoami.exe'
- '\nslookup.exe'
- '\wmic.exe'
timeframe: 5m
condition: selection_proc|count() by User >= 5
level: medium
tags: [attack.discovery]Zeek – Anomalie wolumenowe HTTP od hosta „AI-runner”
redef Notice::policy += {
$pred( n: Notice::Info ) =
n$note == HTTP::ExcessiveRequests &&
n$src == Site::local_nets &&
n$msg contains "ai-runner",
$actions = Notice::ACTION_LOG
};Splunk – Podejrzane równoległe skany wielu celów (mała entropia User-Agent, duża liczba dest.)
index=proxy OR index=fw
| stats dc(dest_ip) as dsts, values(user_agent) as ua by src_ip, bin(_time, 1m)
| where dsts > 100 AND mvcount(ua)=13) Rate-limiting i „circuit-breakers”
4) Kontrola łańcucha narzędzi (MCP, pluginy)
5) Hardening danych wejściowych (Prompt Security)
6) Procedury IR pod „AI w pętli”
7) Edukacja i polityki
W urządzeniach WatchGuard Firebox (system Fireware OS) wykryto lukę CVE-2025-9242 o krytycznym poziomie ryzyka (CVSS 9.3), która umożliwia zdalne wykonanie kodu bez uwierzytelnienia poprzez błąd out-of-bounds write w procesie iked (obsługa IKEv2/IPsec dla Mobile User VPN i Branch Office VPN). CISA dodała już podatność do katalogu Known Exploited Vulnerabilities (KEV) na podstawie dowodów aktywnego wykorzystywania w atakach.
iked (IKEv2), prowadzący do RCE bez uwierzytelniania.WatchGuard opublikował poradnik PSIRT 17 września 2025 r., a 21 października 2025 r. zaktualizował go o wskaźniki ataku (IoA) i zalecenie rotacji lokalnie przechowywanych sekretów (np. hasła, pre-shared keys) „z ostrożności”, po sygnałach o realnych próbach eksploatacji. 13 listopada 2025 r. dołączenie do CISA KEV potwierdziło etap aktywnego nadużycia.
Równolegle watchTowr opublikował techniczną analizę i reprodukcję błędu, ułatwiającą zrozumienie prymitywu pamięci, który stoi za RCE.
Wejście: komunikaty IKE_AUTH w trakcie zestawiania IKEv2. Błąd out-of-bounds write w implementacji iked można wywołać manipulując polami ładunku IDi (identyfikator inicjatora) – udokumentowanym wskaźnikiem podejścia jest nienaturalnie duży rozmiar IDi (>100 bajtów) w logach diagnostycznych. Udana eksploatacja może spowodować zawieszenie lub crash procesu iked, a w wektorze RCE – wykonanie kodu w kontekście urządzenia.
Warunek konfiguracji: Podatność dotyczy Mobile User VPN (IKEv2) i BOVPN (IKEv2) z dynamicznym peerem. Co istotne, nawet po usunięciu takich konfiguracji urządzenie może pozostać podatne, jeśli nadal istnieje BOVPN do statycznego peera.
Zakres wersji i poprawki: jw. (sekcja „W skrócie”). Gałąź 11.x jest EoL – brak poprawek producenta.
Dowody wykorzystania: wpis w CISA KEV oraz doniesienia branżowe; SecurityWeek wskazuje na decyzję CISA nakazującą pilną aktualizację w instytucjach federalnych (BOD 22-01).
iked przerywa tunele BOVPN i dostęp zdalny. 0) Priorytet i okno serwisowe
Traktuj jako P1. Zaplanuj szybkie prace: upgrade + rotacja sekretów.
1) Szybka inwentaryzacja i wykrywanie
iked pod kątem IoA od WatchGuard: „IKE_AUTH request … IDi(sz=…>100)”, zawieszenia lub crashe iked. (Włącz poziom Info dla diagnostyki iked, jeśli to konieczne). Przykładowe zapytania (do szybkiego łapania IoA w SIEM):
index=network_logs sourcetype=watchguard:iked "IKE_AUTH request" IDi(sz=* | rex "IDi\\(sz=(?<idi>\d+)\\)" | where tonumber(idi) > 100message : "*IKE_AUTH request*" and message : "*IDi(sz=*"tcpdump -ni any udp port 500 or udp port 45002) Aktualizacja (remediacja właściwa)
3) Rotacja sekretów (po aktualizacji)
4) Dodatkowe twardnienie i ograniczenie powierzchni ataku
# nftables – ratelimiting IKEv2 (przykład) nft add table inet edge nft add chain inet edge input { type filter hook input priority 0 \; } nft add rule inet edge input udp dport {500,4500} ct state new limit rate 20/second accept nft add rule inet edge input udp dport {500,4500} dropiked przynajmniej tymczasowo.5) Doraźne obejścia (gdy nie możesz od razu patchować)
6) Wykrywanie w sieci (IDS/IPS) – przykładowa reguła Suricata
Heurystyka: nieproporcjonalnie duże IDi w IKE_AUTH. Reguła orientacyjna – wymaga testów i dostrojenia w danym środowisku.
alert udp any any -> $HOME_NET [500,4500] (
msg:"IKEv2 anomaly: oversized IDi in IKE_AUTH (WatchGuard CVE-2025-9242 heuristic)";
flow:to_server;
dsize:>600; # heurystyczny próg długości pakietu
content:"|2f|"; offset:0; depth:1; # IKEv2 major/minor wersja w pierwszym bajcie: 0x2F (IKE_SA?); DEMO
classtype:attempted-admin; sid:25259242; rev:1;
)(IKEv2 nie ma banalnego „sygnaturowego” pola dla IDi bez pełnego parsowania – potraktuj to jako punkt startowy do własnej inspekcji).
7) Skany zewnętrzne / wykrywacze
iked.iked).iked pod kątem anomalii (duży IDi) oraz stabilność procesu – to praktyczne IoA od producenta. iked. (watchTowr Labs)