Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
Jeszcze do niedawna wiele firm spało spokojnie, wierząc, że regularne kopie zapasowe uchronią je przed każdym atakiem. W końcu, jeśli dane zostaną zaszyfrowane, zawsze można je odzyskać z backupu, prawda? Niestety, nowa generacja ransomware – tzw. Ransomware 2.0 – brutalnie weryfikuje to założenie.
Czytaj dalej „Dlaczego Tradycyjny Backup Kapituluje Przed Ransomware 2.0”
ASUS wydał nowe aktualizacje firmware’u łatające dziewięć podatności, w tym krytyczną lukę obejścia uwierzytelniania w funkcji AiCloud dostępnej w wielu routerach tej marki. Błąd śledzony jako CVE-2025-59366 może pozwolić atakującym na wykonywanie określonych funkcji bez autoryzacji. Według producenta, podatność wynika z „niezamierzonego efektu ubocznego” integracji z usługą Samba. ASUS zaleca natychmiastową aktualizację firmware’u lub — w przypadku modeli EoL — wyłączenie usług dostępnych z Internetu.
To nie pierwsza poważna podatność w AiCloud w tym roku. W kwietniu 2025 r. ASUS załatał inną krytyczną lukę CVE-2025-2492 (CVSS v4: 9.2), która umożliwiała nieautoryzowane wykonywanie funkcji po wysłaniu spreparowanego żądania. Luka ta była wiązana z kampanią przejęć EoL-owych routerów ASUS (m.in. „Operation WrtHug”).
W czerwcu 2024 r. głośno było także o CVE-2024-3080 (również auth bypass), która według danych Censys mogła wystawiać na ryzyko ok. 147 tys. routerów w Internecie — co pokazuje, że funkcje zdalnego dostępu w SOHO są stałym celem ataków.
CVE‑2025‑0108 to obejście uwierzytelniania w WebUI PAN‑OS, umożliwiające niezalogowanemu napastnikowi z dostępem sieciowym do WebUI wywołanie wybranych skryptów PHP. Samo wywołanie nie daje RCE, ale może ujawniać/zmieniać informacje, a w praktycznych łańcuchach z CVE‑2024‑9474 (PE/CI) i CVE‑2025‑0111 (file read) prowadzi do eskalacji.
Atakujący wysyła specjalnie ułożone żądania HTTP/S do publicznie osiągalnego WebUI PAN‑OS. Błąd w ścieżce uwierzytelniania pozwala ominąć kontrolę logowania i wołać część skryptów PHP zaplecza WebUI. Choć producent podkreśla, że samo to nie daje RCE, realnie umożliwia pozyskanie wrażliwych informacji lub zmianę stanu (konf./sesje), co w połączeniu z innymi błędami (np. CVE‑2024‑9474, CVE‑2025‑0111) bywa wykorzystywane do pełnego przejęcia administracyjnego. Lukę uznano za atakowaną (observed exploit attempts) i wpisano do CISA KEV. Skuteczność wynika z: (1) powszechności błędnych ekspozycji WebUI, (2) niska złożoność i brak wymagań uprawnień/UI, (3) możliwość łańcuchowania.
Wersje/fixy (skrót):
| Źródło | Typ/Zdarzenie | Najważniejsze pola | Wskazówki / przykład |
|---|---|---|---|
| PAN‑OS Threat logs | Blokady sygnatur Threat ID 510000/510001 | threat_id/threatid, threat_name, action, src, dst, url | Detekcja prób CVE‑2025‑0108 (wymaga subskrypcji Threat Prevention). |
| PAN‑OS Traffic logs | Połączenia do WebUI (443/4443) | dst_port, app (ssl/web-browsing), rule, src, dst | Ruch z niezaufanych ASN/IP do IP zarządzania; brak reguły NAT/SNAT dla mgmt. |
| PAN‑OS System/Config logs | Nieoczekiwane zmiany/akcje w WebUI | type=SYSTEM/CONFIG, admin, client, cmd, result | Zmiany konfiguracyjne z nietypowych adresów źródłowych po ruchu na 4443. |
| Cortex Data Lake / CEF | Znormalizowane pola CEF (CommonSecurityLog) | DeviceVendor="Palo Alto Networks", DeviceProduct="PAN-OS", DeviceEventClassID | W Sentinel KQL filtrujemy DeviceProduct has 'PAN-OS'. |
| CloudTrail (meta‑kontrola) | Zmiany SG/VPC odsłaniające 443/4443 | AuthorizeSecurityGroupIngress, RevokeSecurityGroupIngress | Wykrywanie ekspozycji WebUI dla VM‑Series w AWS. |
| K8s audit / M365 / Windows EID | — | — | Nie dotyczy tej luki (brak lokalnych EID/M365/K8s). |
title: PAN-OS WebUI Auth Bypass Attempt (CVE-2025-0108)
id: 0a0d2c8b-3c7a-4d0e-9a7e-0d9b5b7f0108
status: experimental
description: Wykrywa próby obejścia uwierzytelniania WebUI PAN-OS (CVE-2025-0108) na podstawie sygnatur TP lub nietypowych wywołań WebUI.
references:
- https://security.paloaltonetworks.com/CVE-2025-0108
logsource:
category: firewall
product: paloalto
detection:
tp_ids:
threat_id|contains:
- '510000'
- '510001'
action|contains:
- 'block'
- 'reset'
webui_suspicious:
dst_port|in: [443, 4443]
app|contains:
- 'ssl'
- 'web-browsing'
url|endswith: '.php'
user|isempty: true
condition: tp_ids OR webui_suspicious
falsepositives:
- Skanery podatności/monitoring pochodzące z dozwolonych adresów
level: high
tags:
- attack.t1190
- cve.2025-0108Uwaga: dopasuj nazwy pól do Twojego parsera (np.
threatid/threat_id,url,dstport). Sygnatury 510000/510001 wg advisora producenta.
A) Trafienia sygnatur 510000/510001 (pan:threat)
index=pan_logs sourcetype=pan:threat
| search threatid IN (510000, 510001)
| stats count min(_time) as firstSeen max(_time) as lastSeen values(src_ip) values(dst_ip) by threatid, threat, action
(„threatid”/„threat” mogą się różnić w zależności od Add‑on; sprawdź normalizację pól).
B) Dostępy do WebUI z Internetu (pan:traffic)
index=pan_logs sourcetype=pan:traffic (dest_port=443 OR dest_port=4443)
| eval isPublic=if(cidrmatch("0.0.0.0/0", src_ip) AND NOT
(cidrmatch("10.0.0.0/8", src_ip) OR cidrmatch("172.16.0.0/12", src_ip) OR cidrmatch("192.168.0.0/16", src_ip)), 1, 0)
| where isPublic=1
| stats dc(src_ip) as uniqIPs values(app) values(rule) by dest_ip, dest_portC) Korelacja: po ruchu na WebUI następuje Config change
(index=pan_logs sourcetype=pan:traffic (dest_port=443 OR dest_port=4443) src_ip!=10.0.0.0/8)
| bin _time span=5m
| stats values(src_ip) as srcs values(dest_ip) as mgmtIPs by _time
| join _time [ search index=pan_logs sourcetype=pan:config result="Succeeded"
| stats values(admin) as admins values(client) as clients by _time ]
| table _time mgmtIPs srcs admins clientsA) Sygnatury TP (CEF)
CommonSecurityLog
| where DeviceVendor =~ "Palo Alto Networks" and DeviceProduct has "PAN-OS"
| where DeviceEventClassID =~ "threat"
| extend kv = parse_kv(AdditionalExtensions, ";", "=")
| where tostring(kv.threatid) in ("510000","510001") or tostring(kv.ThreatID) in ("510000","510001")
| summarize count(), FirstSeen=min(TimeGenerated), LastSeen=max(TimeGenerated) by SourceIP, DestinationIP, tostring(kv.threat_name)B) Dostęp do WebUI z niezaufanych adresów
CommonSecurityLog
| where DeviceVendor =~ "Palo Alto Networks" and DeviceProduct has "PAN-OS"
| where DestinationPort in ("443","4443") and ApplicationProtocol in ("ssl","http","https")
| where not(ipv4_is_private(SourceIP))
| summarize dcount(SourceIP), make_set(SourceIP, 5) by DestinationIP, DestinationPort
A) Zmiany SG otwierające WebUI na świat (CloudTrail)
AWSCloudTrail
| where EventName in ("AuthorizeSecurityGroupIngress","ModifyNetworkInterfaceAttribute")
| extend open443 = tostring(parse_json(RequestParameters).ipPermissions) has "fromPort\":443"
| extend open4443 = tostring(parse_json(RequestParameters).ipPermissions) has "fromPort\":4443"
| where open443 or open4443
| where tostring(parse_json(RequestParameters).ipPermissions) has "0.0.0.0/0"B) Szybki audyt CLI (EC2 SG)
aws ec2 describe-security-groups \
--query "SecurityGroups[?IpPermissions[?((FromPort==443||FromPort==4443)&&contains(IpRanges[].CidrIp, '0.0.0.0/0'))]].{GroupId:GroupId,Name:GroupName}" \
--output tableC) VPC Flow Logs (CloudWatch Logs Insights) – ruch do 4443
fields @timestamp, srcAddr, dstAddr, dstPort, action
| filter dstPort in [443,4443] and action="ACCEPT"
| sort @timestamp desc
| limit 100EQL – ruch do WebUI z Internetu + ślady PHP w URL
any where observer.vendor == "Palo Alto Networks" and
event.dataset in ("panw.traffic","panw.threat") and
destination.port in (443, 4443) and
(url.path regex ".*\\.php(\\?|$)") and
not cidrmatch(source.ip, "10.0.0.0/8", "172.16.0.0/12", "192.168.0.0/16")action != allow lub z sygnaturami TP.Wybrane komendy PAN‑OS (CLI) – diagnostyka/bezpieczne
Uruchamiaj w oknie serwisowym, po kopii configu.
show system info
show admins
show config running | match management
show session all filter dst port 4443
show log system direction equal backward query '( subtype eq general )'
show log config direction equal backwardCel: zweryfikować detekcję i twarde zasady bez ujawniania szczegółów exploitu. Wykonuj w odseparowanym labie.
curl -k https://FW:4443/) i obserwuj logi Traffic/Threat.(Nie wykonujemy czynności ukierunkowanych na obejście zabezpieczeń ani odtwarzania łańcucha exploitu.)
SOC – dziś
CISO – w tym kwartale
enc w endpointzie /remote/hostcheck_validate, co umożliwia wykonanie kodu bez logowania. CVE‑2023‑27997 to błąd heap‑based buffer overflow (CWE‑122/CWE‑787) w komponencie SSL‑VPN FortiOS/FortiProxy umożliwiający zdalne wykonanie kodu na urządzeniu bez uwierzytelnienia poprzez „specjalnie spreparowane” żądania HTTP/HTTPS do publicznego interfejsu VPN.
Atakujący składa pre‑auth żądania HTTP(S) do portalu SSL‑VPN FortiGate. Kluczową rolę odgrywa endpoint /remote/hostcheck_validate i parametr enc, którego długość i dekodowanie są błędnie weryfikowane. Błąd pozwala na nadpisanie pamięci sterty i w konsekwencji wykonanie kodu. Badanie LEXFO opisuje też zależności od /remote/info (do pobrania „salt”) oraz charakter „XOR‑overflow” wykorzystywany do manipulacji pamięcią. W praktyce umożliwia to początkowy dostęp (Initial Access) i często ominięcie MFA, ponieważ atak następuje przed uwierzytelnieniem.
Fortinet potwierdził krytyczność problemu (FG‑IR‑23‑097), publikując łatki i zalecając niezwłoczną aktualizację; CISA dodała CVE do KEV (Known Exploited Vulnerabilities).
| Źródło/warstwa | Kluczowe pola / wzorce | Przykładowe wartości / IOC | Uwagi |
|---|---|---|---|
| FortiGate system/sslvpn logs | type=event, subtype=vpn/daemon, msg, service=sslvpn, logid, eventtime | Błędy invalid enc data length, restarty/„sslvpnd daemon crash/watchdog timeout” | Crashe/timeouty sslvpnd są sygnałem ostrzegawczym. |
| FortiGate HTTP/HTTPS access | url, http_method, status, user="" (pre‑auth), srcip | Żądania do /remote/hostcheck_validate z parametrem enc=; skoki 4xx/5xx | Najlepiej zbierać jako syslog/CEF do SIEM. |
| FortiGate Event (log IDs) | logid, action, user | Zalew SSL‑VPN login fail (np. ...user-ssl-login-fail...) lub niestandardowe wzorce | Przydatne do korelacji szumu skanowania z exploitami. |
| Crashlog | diag debug crashlog read | Wpisy o sslvpnd, sygnały, restarty | Materiał dowodowy na awarie procesu. |
| ALB/WAF/Reverse Proxy | request_uri, user_agent, status, bytes | /remote/hostcheck_validate, enc=; piki z pojedynczych IP | Gdy urządzenie stoi za LB/WAF. |
| Windows EID | — | [nie dotyczy] | Bezpośrednio brak artefaktów Windows. |
| AWS CloudTrail | — | [nie dotyczy] | CloudTrail nie rejestruje treści HTTP; szukaj w ALB/WAF (CloudWatch Logs). |
| K8s audit | — | [nie dotyczy] | |
| M365 audit | — | [nie dotyczy] |
title: FortiGate SSL-VPN hostcheck_validate enc Anomaly (CVE-2023-27997)
id: 4d6f70b0-6b8a-4a3a-9be1-enc-hostcheck
status: experimental
description: Wykrywa żądania do /remote/hostcheck_validate z parametrem enc= (pre-auth) – możliwe wykorzystanie CVE-2023-27997.
references:
- https://nvd.nist.gov/vuln/detail/cve-2023-27997
- https://blog.lexfo.fr/xortigate-cve-2023-27997.html
- https://www.cisa.gov/news-events/alerts/2023/06/13/cisa-adds-one-known-exploited-vulnerability-catalog
tags:
- attack.t1190
- cve.2023-27997
logsource:
category: firewall
product: fortinet
detection:
sel_path:
url|contains: "/remote/hostcheck_validate"
sel_param:
url|contains: "enc="
# alternatywne pola spotykane w CEF/LEEF
sel_alt1:
cs-uri-stem|contains: "/remote/hostcheck_validate"
sel_alt2:
cs-uri-query|contains: "enc="
condition: (sel_path and sel_param) or (sel_alt1 and sel_alt2)
fields:
- src_ip
- dst_ip
- url
- http_method
- http_status
falsepositives:
- Starsze klienty FortiClient wykonujące host-check (rzadkie)
level: highWyszukaj podejrzane żądania i skoki błędów:
index=network (sourcetype=fortigate* OR sourcetype=proxy*)
("|/remote/hostcheck_validate" OR cs_uri_stem="/remote/hostcheck_validate")
("enc=" OR cs_uri_query="*enc=*")
| bin _time span=5m
| stats count count(eval(http_status>=400 AND http_status<600)) AS errs
values(http_method) AS methods
values(http_status) AS statuses
by _time, src_ip, dest_ip, uri, user
| where count>=5 OR errs>=3Crashes sslvpnd (system events):
index=network sourcetype=fortigate:syslog ("sslvpnd" OR "SSL VPN Watchdog" OR "daemon crash")
| stats count latest(msg) AS any_message by _time, hostlet t = 5m;
CommonSecurityLog
| where DeviceVendor =~ "Fortinet"
| where RequestURL has "/remote/hostcheck_validate" and RequestURL has "enc="
| summarize cnt = count(), statuses = make_set(FlexString1) by bin(TimeGenerated, t), SourceIP, DestinationIP, RequestURL
| where cnt >= 5fields @timestamp, @message, httpRequest.clientIp as src
| filter requestURI like /\/remote\/hostcheck_validate/ and @message like /enc=/
| stats count() as hits, countif(elb_status_code like /5\d\d|4\d\d/) as errs by bin(5m), src, requestURI
| filter hits >= 5 or errs >= 3KQL (HTTP/Proxy index):
url.path : "/remote/hostcheck_validate" and url.query : "*enc=*"EQL (jeśli parsowane do pól http/url):
sequence by source.ip with maxspan=5m
[ network where url.path == "/remote/hostcheck_validate" and url.query : "*enc=*" ]
[ any where process.name == "sslvpnd" and event.action in ("crash","restart") ]/remote/hostcheck_validate z enc= z pojedynczego IP + wysoki udział 4xx/5xx → koreluj z restartem/crashem sslvpnd w ±5 min. user w logu, brak sesji, nietypowy User‑Agent (skanery/custom).fortigate-tech-support) lub odczyt konfiguracji — sygnał znany z incydentów wokół CVE‑2023‑27997. hostcheck_validate, jednak wolumen jest niewielki i statusy HTTP są zazwyczaj 200/302.user, nietypowe geolokalizacje/GEO‑ASN.get system status)./remote/hostcheck_validate + enc=; wysoki wolumen/4xx/5xx.sslvpnd crash/watchdog). fortigate-tech-support), anomalie w konfiguracji. Tylko w kontrolowanym labie (izolowane FortiGate/FortiProxy). Celem jest detekcja, nie eksploatacja.
tunnel-up / tunnel-down (do porównania). /remote/hostcheck_validate?enc=AA z różnych IP źródłowych (np. z testowych kontenerów) — celem jest wygenerowanie charakterystycznego wzorca URI i 4xx w logach (nie dostarczać Keystream/PoC)./remote/hostcheck_validate + restart sslvpnd + brak user + 4xx.Technika główna: T1190 – Exploit Public‑Facing Application (Initial Access).
Techniki powiązane:
Mitigations (ATT&CK):
/remote/hostcheck_validate, enc). (blog.lexfo.fr)fortigate-tech-support). (Rapid7)sslvpnd — jak rozpoznać w logach. (Fortinet Community)SOC (operacyjna):
/remote/hostcheck_validate + enc= (pre‑auth) z progami wolumetrycznymi.sslvpnd crash/restart i pikami 4xx/5xx. fortigate-tech-support) i zmian konfiguracji. get system status).CISO (strategiczna):
VPN jest bramą do firmowej sieci – ułatwia pracę zdalną, ale dla atakujących stanowi atrakcyjny cel. Wystarczy jedno przejęte konto lub luka w VPN, by intruz zyskał dostęp do zasobów wewnętrznych. Przykładowo, głośny atak na Colonial Pipeline w 2021 rozpoczął się od wykradzionych danych dostępowych VPN bez wymuszonego MFA, co sparaliżowało krytyczną infrastrukturę. To pokazuje, że kompromitacja VPN niesie poważne konsekwencje – od wycieku danych po zatrzymanie działalności firmy.
Czytaj dalej „VPN Hardening Cookbook”
Krytyczna podatność deserializacji w SAP NetWeaver AS Java (RMI‑P4) pozwala nieautoryzowanemu napastnikowi zdalnie wykonać dowolne komendy systemowe przez wysłanie złośliwych obiektów Java na otwarty port P4 (5NN04/50004). Należy załatać wg not SAP #3634501 oraz wdrożyć dodatkowe filtrowanie deserializacji JVM wg #3660659, a także ograniczyć ekspozycję portu P4 tylko do zaufowanych sieci. Brak publicznych dowodów eksploatacji/PoC w momencie publikacji dostawców, ale ryzyko jest maksymalne (CVSS 10).
CVE‑2025‑42944 to błąd deserializacji niezaufanych obiektów Java w module RMI‑P4 SAP NetWeaver AS Java. Wystawiony port P4 (np. 50004) przyjmuje obiekty, które po zdeserializowaniu mogą uruchomić dowolny kod/komendy OS w kontekście procesu aplikacyjnego — bez uwierzytelnienia.
java, jstart, sapstartsrv).RMI‑P4 to protokół zdalnych wywołań w AS Java. Usługa nasłuchuje na porcie 5NN04 (np. 50004) i obsługuje obiekty Java przesyłane do deserializacji. W CVE‑2025‑42944 brak właściwej walidacji powoduje, że przesłany złośliwy obiekt (tzw. gadget chain) zostaje zdeserializowany, co może zakończyć się wykonaniem komend systemowych (np. powłoki), skutkując pełnym naruszeniem C/I/A aplikacji. SAP wydał poprawkę (#3634501) oraz późniejsze zalecenia utwardzające z #3660659 — w tym zastosowanie JVM‑wide jdk.serialFilter dla klas dozwolonych/blokowanych, co ogranicza powierzchnię gadgetów.
Uwaga kontekstowa: niektóre źródła branżowe raportowały brak obserwacji PoC/eksploatacji w czasie publikacji, lecz historycznie luki RCE w SAP są szybko weaponizowane po ujawnieniu poprawek. Priorytet: patch + segmentacja + filtracja P4.
| Źródło | Co zbierać | EID / pola | Wzorce / wskazówki | Uwagi |
|---|---|---|---|---|
SAP AS Java defaultTrace.* / logi RMI | Błędy RMI‑P4, nieudane żądania, przeciążenia kolejki | com.sap.engine.services.rmi_p4.* | Wpisy o przetwarzaniu żądań P4, błędach połączeń, anomalie kolejki | Przykładowe komunikaty RMI‑P4 potwierdza KBA SAP (P4/50004, kolejka). |
| Windows Security | Tworzenie procesów po udanej RCE | 4688 | Rodzic: java.exe/jstart.exe/sapstartsrv.exe → Dziecko: cmd.exe/powershell.exe/wscript.exe | Korelować z czasem ruchu na P4 |
| Sysmon | Start procesu / sieć | 1, 3, 10 | ParentImage jak wyżej; połączenia z/do *:5NN04 | |
| Linux auditd | execve/fork potomków Javy | type=EXECVE | ppid/exe = java/jstart/sapstartsrv + sh/bash | |
| Zeek / FW | Ruch przychodzący na P4 | dest_port | 50004–59904 i końcówka …04 (wzorzec 5NN04) | Segmentacja i allowlista źródeł |
| AWS CloudTrail | Zmiany SG otwierające P4 | AuthorizeSecurityGroupIngress/Egress, CreateSecurityGroup | toPort w [50004..59904] (w przybliżeniu wzorzec 5NN04) | Wykrywa „otwarcie świata” na P4 w chmurze |
| K8s audit | Wystawienie P4 z klastra | create/patch Service/Ingress | spec.ports.port: 5NN04 / nodePort kończący się …04 | Jeśli NetWeaver w kontenerach |
| M365 Unified Audit Log | – | – | [brak zastosowania] | Detekcja skutków via MDE (telemetria endpoint) |
title: SAP NetWeaver AS Java -> podejrzany interpreter poleceń (CVE-2025-42944)
id: 4c7b3c8b-7b5f-4f5f-9f1a-jnr-p4-rce
status: experimental
description: Wykrywa uruchomienie cmd/PowerShell przez procesy java/jstart/sapstartsrv (skutek RMI-P4 RCE).
references:
- https://nvd.nist.gov/vuln/detail/CVE-2025-42944
- https://onapsis.com/blog/sap-security-patch-day-october-2025/
logsource:
product: windows
category: process_creation
detection:
parent_java:
ParentImage|endswith:
- '\java.exe'
- '\jstart.exe'
- '\sapstartsrv.exe'
child_shell:
Image|endswith:
- '\cmd.exe'
- '\powershell.exe'
- '\wscript.exe'
- '\cscript.exe'
condition: parent_java and child_shell
fields:
- Image
- CommandLine
- ParentImage
- ParentCommandLine
- User
falsepositives:
- Rzadkie zadania serwisowe/upgrade AS Java wywołujące skrypty systemowe
level: high
tags:
- attack.t1059
- attack.t1190
- attack.t1210Wariant Linux/auditd (skrót):
logsource:
product: linux
service: auditd
detection:
parent_java: selection where exe endswith "java" or "jstart" or "sapstartsrv"
child_shell: selection where a0 in ("sh","bash","zsh","ksh")
condition: parent_java and child_shellA. Proces potomny od Javy/SAP (Win Security 4688 lub Sysmon 1)
(index=win* (sourcetype=WinEventLog:Security EventCode=4688)
OR (sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational EventCode=1))
| eval parent=coalesce(ParentImage, ParentProcessName)
| eval child=coalesce(Image, NewProcessName)
| where match(lower(parent), "(\\\\|/)java\\.exe$|(\\\\|/)jstart\\.exe$|(\\\\|/)sapstartsrv\\.exe$")
AND match(lower(child), "(\\\\|/)cmd\\.exe$|(\\\\|/)powershell\\.exe$|(\\\\|/)wscript\\.exe$|(\\\\|/)cscript\\.exe$")
| stats count min(_time) max(_time) values(CommandLine) by host parent child userB. Połączenia przychodzące na P4 (Zeek/FW)
(index=net* OR index=zeek* OR index=firewall*)
| eval port_str=tostring(dest_port)
| where dest_port>=50004 AND dest_port<=59904 AND like(port_str,"%04")
| stats dc(src_ip) as uniq_src count by dest_ip dest_port
| sort - countA. Proces potomny od Javy/SAP
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("java.exe","jstart.exe","sapstartsrv.exe")
| where FileName in~ ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","sh","bash")
| summarize cnt=count(), firstSeen=min(Timestamp), lastSeen=max(Timestamp)
by DeviceName, InitiatingProcessAccountName, InitiatingProcessFileName, FileName, ProcessCommandLineB. Ruch na P4 (wejściowy)
DeviceNetworkEvents
| where RemotePort between (50004 .. 59904) and RemotePort % 100 == 4
| where Direction in ("Inbound","Listen") or Action =~ "Allowed"
| summarize cnt=count(), sources=dcount(RemoteIP) by DeviceName, RemotePort, Protocol, InitiatingProcessFileNameSELECT eventTime, eventName, userIdentity.type AS actor,
requestParameters.groupId AS sg,
json_extract_scalar(requestParameters, '$.toPort') AS toPort,
sourceIPAddress
FROM aws_cloudtrail_events
WHERE eventSource='ec2.amazonaws.com'
AND eventName IN ('AuthorizeSecurityGroupIngress','AuthorizeSecurityGroupEgress','CreateSecurityGroup')
AND CAST(json_extract_scalar(requestParameters, '$.toPort') AS INT) BETWEEN 50004 AND 59904
AND LIKE(json_extract_scalar(requestParameters, '$.toPort'), '%04')
ORDER BY eventTime DESC;Proces potomny od Javy/SAP → interpreter poleceń
process where event.type == "start" and
(process.parent.name in ("java","jstart","sapstartsrv") or
process.parent.executable : "*\\java.exe") and
process.name in ("cmd.exe","powershell.exe","sh","bash","zsh","ksh")cmd/sh od procesu java/jstart./c, -c, wget, curl, nc, zapisy do /tmp/%TEMP%).defaultTrace koreluje z ruchem na P4 i alertami EDR. <SID>adm), okien zmian i baseline’u procesów.…04 zwiększa precyzję.C:\usr\sap\*\J00\work\defaultTrace*.journalctl/auditd, /usr/sap/<SID>/J*/work/defaultTrace*.ss -lntp | awk '$4 ~ /:5[0-9]{2}04/ {print}'Get-NetTCPConnection | ? { $_.LocalPort -ge 50004 -and $_.LocalPort -le 59904 -and ($_.LocalPort % 100 -eq 4) }%TEMP%//tmp, połączeń wychodzących C2.jdk.serialFilter) został opisany przez Onapsis i powiązany z notą SAP #3660659 — warto wdrożyć nawet po aktualizacji. Tylko w odizolowanym labie. Celem jest weryfikacja detekcji, nie wykorzystanie luki.
cmd od Javy (Windows): # skompiluj prostą klasę Java uruchamiającą bezpieczną komendę echo @" public class P4Echo { public static void main(String[] args) throws Exception { new ProcessBuilder("cmd.exe","/c","echo lab-test").inheritIO().start().waitFor(); } } "@ | Set-Content .\P4Echo.java javac P4Echo.java java P4Echo Oczekiwany efekt: trigger reguł Sigma/Splunk/KQL (rodzic java.exe → dziecko cmd.exe).# Linux/WSL: próba TCP handshake do P4 nc -vz <host_sap> 50004 Oczekiwany efekt: wpisy w logach FW/Zeek; brak błędów aplikacji (brak payloadu).Mitigations (ATT&CK):
Powiązane techniki ATT&CK:
jdk.serialFilter). (strony wymagają dostępu) — linki referencyjne z NVD. (NVD)jdk.serialFilter. (Onapsis)SOC (operacyjna)
defaultTrace.* i logów RMI‑P4.CISO (strategiczna)
CVE‑2025‑42890 to błąd klasy CWE‑798 (hard‑coded credentials) w SAP SQL Anywhere Monitor (Non‑GUI), pozwalający zdalnemu napastnikowi — bez wcześniejszego uwierzytelnienia — uzyskać dostęp do funkcji administracyjnych monitora i potencjalnie wykonać kod z wysokimi uprawnieniami, co skutkuje wysokim wpływem na C/I/A.
Moduł SQL Anywhere Monitor (Non‑GUI) zawiera w kodzie stałe poświadczenia. Jeżeli usługa jest osiągalna sieciowo, atakujący może z ich użyciem uzyskać dostęp administracyjny do funkcji monitora, a następnie (w zależności od konfiguracji i scenariusza) doprowadzić do zdalnego wykonania kodu na hoście. SAP sklasyfikował lukę jako Critical/HotNews i udostępnił notę 3666261; Onapsis podaje, że poprawka deinstaluje omawiany komponent, a do czasu wdrożenia łatki należy zatrzymać usługę monitora i usunąć jego bazę repozytoryjną.
Praktycznie oznacza to, że ekspozycja TCP/4950 (lub port skonfigurowany lokalnie) z hosta z zainstalowanym monitorem znacząco zwiększa ryzyko nieautoryzowanego dostępu.
| Źródło | Artefakt / log | Co obserwować |
|---|---|---|
| Firewall / NTA / Zeek | Połączenia dst.port=4950/tcp (lub port monitora) | Pierwsze kontakty z zewnątrz, skoki wolumenu, nowe źródła IP, długość sesji. |
| Sysmon | EID 3 (NetworkConnect) | Procesy nasłuchujące/łączące się na 4950; korelacja z nietypowymi parentami. |
| Windows System | EID 7045/7036 (Service install/start) | Pojawienie się/uruchomienie usługi powiązanej z SQL Anywhere/monitorem. |
| Linux | systemd journal / ss -lntp | Słuchanie na porcie monitora, restart usługi po patchu. |
| EDR (proc) | Nietypowe spawny (cmd.exe/powershell.exe/bash) po ruchu na 4950 | Możliwy follow‑on execution. |
| Cloud (AWS) | VPC Flow Logs | dstport=4950 + action=ACCEPT dla instancji z SQL Anywhere. |
| Azure/GCP | NSG/Flow Logs | Analogiczne do VPC Flow. |
| K8s/M365 | — | [brak danych / nie dotyczy] |
title: External Access to SAP SQL Anywhere Monitor (TCP/4950)
id: 0f2e2b2c-5f1c-4a3c-8b0a-4a2b4c7e4950
status: stable
description: Wykrywa połączenia przychodzące do SQL Anywhere Monitor (historycznie TCP/4950) spoza sieci zaufanych.
references:
- https://help.sap.com/docs/SAP_SQL_Anywhere/.../Monitor-architecture # port 4950
logsource:
category: firewall
detection:
selection:
dst_port: 4950
action: allow
not_internal:
src_ip|cidr:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
condition: selection and not not_internal
fields:
- src_ip
- dst_ip
- dst_port
- bytes
- rule
falsepositives:
- Legalny zdalny dostęp administracyjny z zaufanych adresów (rozszerz allowlistę).
level: high| tstats summariesonly=false count as events
from datamodel=Network_Traffic.All_Traffic
where All_Traffic.dest_port=4950 All_Traffic.action=allowed
by _time span=5m All_Traffic.dest, All_Traffic.src
| where NOT cidrmatch("10.0.0.0/8", 'All_Traffic.src')
AND NOT cidrmatch("172.16.0.0/12", 'All_Traffic.src')
AND NOT cidrmatch("192.168.0.0/16", 'All_Traffic.src')
| eventstats sum(events) as ev_by_pair by All_Traffic.dest, All_Traffic.src
| sort - ev_by_pairDeviceNetworkEvents
| where Timestamp > ago(7d)
| where LocalPort == 4950 or RemotePort == 4950
| where ActionType in ("ConnectionSuccess", "InboundConnectionAccepted", "ListeningConnectionCreated")
| summarize firstSeen=min(Timestamp), lastSeen=max(Timestamp), cnt=count()
by DeviceName, InitiatingProcessFileName, LocalIP, LocalPort, RemoteIP, RemotePort, Protocol
| order by cnt descSELECT dstaddr, dstport, srcaddr, COUNT(*) AS hits, MIN(start) AS first_seen, MAX(end) AS last_seen
FROM vpc_flow_logs
WHERE action='ACCEPT' AND dstport=4950 AND start BETWEEN from_iso8601_timestamp('${from}') AND from_iso8601_timestamp('${to}')
GROUP BY dstaddr, dstport, srcaddr
ORDER BY hits DESC;network where destination.port == 4950 and event.action == "allowed"
and not cidrmatch(source.ip, ["10.0.0.0/8","172.16.0.0/12","192.168.0.0/16"])Uwaga: port 4950 jest historyczną wartością domyślną dla monitora — potwierdź w swojej konfiguracji (również pod kątem reverse proxy).
New-NetFirewallRule -DisplayName "Block SQL Anywhere Monitor" -Direction Inbound -LocalPort 4950 -Protocol TCP -Action Blocksudo iptables -A INPUT -p tcp --dport 4950 -j DROPnetstat/ss), brak procesu/usługi monitora, brak ruchu w Flow Logs.Cel: sprawdzić, czy detekcje zadziałają bez reprodukowania luki.
Start-Process -WindowStyle Hidden -FilePath "powershell.exe" -ArgumentList "while($true){$l=New-Object Net.Sockets.TcpListener([Net.IPAddress]::Any,4950);$l.Start();Start-Sleep -Seconds 600}"sudo nc -l -p 4950curl http://<host>:4950/ z innego hosta labowego i sprawdź reguły Sigma/Splunk/KQL.Mitigations (ATT&CK Enterprise):
Powiązane techniki ATT&CK:
SOC:
CISO / właściciel systemu: