Archiwa: Firewall - Strona 22 z 24 - Security Bez Tabu

Tag: Firewall

Samsung Galaxy S25 zhakowany w drugim dniu Pwn2Own Ireland 2025 — co to oznacza dla bezpieczeństwa mobilnego?

Wprowadzenie do problemu / definicja luki

W drugim dniu konkursu Pwn2Own Ireland 2025 badacze bezpieczeństwa zademonstrowali włamanie do Samsung Galaxy S25 przy wykorzystaniu łańcucha pięciu podatności. Próba zakończyła się powodzeniem i została nagrodzona 50 000 USD oraz 5 punktami w klasyfikacji „Master of Pwn”. To jedna z najbardziej medialnych demonstracji tegorocznej edycji i ważny sygnał dla bezpieczeństwa nowoczesnych smartfonów.

W skrócie

  • 56 unikalnych zero-dayów wykorzystanych podczas dnia drugiego, $792 750 wypłaconych nagród.
  • Galaxy S25 został skutecznie zhackowany przez Kenna Gannona (Mobile Hacking Lab) i Dimitriosa Valsamarasa (Summoning Team) przy użyciu łańcucha 5 błędów.
  • Konkurs obejmuje 8 kategorii, w tym smartfony (Samsung, iPhone 16, Pixel 9), drukarki, NAS, smart-home, messaging (z rekordową nagrodą $1 mln za zero-click w WhatsApp).
  • Po zakończeniu konkursu vendorzy mają 90 dni na wydanie poprawek zanim ZDI ujawni szczegóły.

Kontekst / historia / powiązania

Dzień drugi Pwn2Own 2025 w Cork (21–24 października) przyniósł znaczący wzrost liczby skutecznych demonstracji względem dnia pierwszego, kiedy to badacze pokazali 34 zero-daye i zdobyli $522 500. Liderem tabeli po dwóch dniach pozostawał Summoning Team. W tle konkursu szczególną uwagę przyciąga próba zaplanowana na dzień trzeci: zero-click RCE w WhatsApp wyceniony na $1 000 000.

Analiza techniczna / szczegóły ataku

Organizator, Trend Micro Zero Day Initiative (ZDI), potwierdził, że udana próba na Galaxy S25 wymagała połączenia pięciu odrębnych błędów (łańcuch exploitów). ZDI nie publikuje wewnętrznych detali w trakcie konkursu; wiemy jednak, że:

  • Próba Ken Gannon / Mobile Hacking Lab + Dimitrios Valsamaras / Summoning Team została sklasyfikowana jako SUCCESS i wyceniona na $50 000 oraz 5 pkt.
  • W tej edycji rozszerzono wektory ataku w kategorii „Mobile” — dopuszczono eksploatację przez port USB (urządzenie zablokowane), nadal dopuszczalne są klasyczne kanały Wi-Fi, Bluetooth, NFC. To zwiększa spektrum łańcuchów (np. mieszane ścieżki fizyczne i radiowe).

Uwaga o jawności technicznej: dopóki nie minie okres karencji i vendorzy nie przygotują poprawek, ZDI nie publikuje pełnych technicznych write-upów. Dlatego na ten moment znane są parametry nagród, autorzy, liczba błędów w łańcuchu oraz kategorie, lecz nie szczegółowe identyfikatory CVE czy precyzyjne prymitywy (np. UAF/logic bug) dla tej konkretnej eksploitacji.

Praktyczne konsekwencje / ryzyko

  • Ryzyko dla użytkowników Galaxy S25 (i szerzej — Androida) jest w tej chwili potencjalne: exploit został zaprezentowany w kontrolowanych warunkach i trafi do odpowiedzialnego ujawnienia. To jednak dowodzi, że łańcuchy wielobłędowe potrafią przełamać współczesne mechanizmy ochronne w topowych smartfonach.
  • Demonstracje dnia drugiego obejmowały także NAS-y (QNAP, Synology), drukarki (Canon, Lexmark), smart-home (Philips Hue, Home Assistant Green), IoT (Amazon Smart Plug) — to wskazuje na szeroką powierzchnię ataku w ekosystemach domowo-biurowych.
  • Z perspektywy SOC/Blue Team: przy rosnącej liczbie błędów post-exploitation w urządzeniach peryferyjnych ryzyko lateral movement rośnie — szczególnie w środowiskach pracujących w modelu hybrydowym z urządzeniami BYOD/IoT na tych samych segmentach sieci. (Wniosek na podstawie zestawu celów konkursu).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i działów IT:

  1. Aktualizacje: monitoruj aktualizacje Samsung/Google dla S25 i Androida; wprowadź je niezwłocznie po publikacji (ZDI daje vendorom 90 dni, ale poprawki mogą pojawić się szybciej).
  2. Twarde zasady I/O: do czasu łat, ogranicz dostęp do portów USB w urządzeniach mobilnych (MDM: blokada Debugging/ADB, ograniczenia akcesoriów USB). Zwiększ czujność wobec nieautoryzowanych akcesoriów.
  3. Segmentacja sieci: izoluj IoT/NAS/drukarki od sieci użytkowników końcowych (VLAN, firewall L3/L7).
  4. Hardening mobilny: wymuś aktualne łatki bezpieczeństwa, blokadę sideloadingu, Wi-Fi/NFC/Bluetooth tylko gdy potrzebne, MFA z ochroną ekranu.
  5. Monitoring: dodaj do playbooków IOC-agnostic kontrole anomalii: nietypowe przepływy z NAS/drukarek, ruch DNS z urządzeń IoT, zdarzenia USB w MDM/UEM.

Dla zespołów AppSec/PSIRT u vendorów:

  • Zadbaj o szybką triagę danych przekazanych przez ZDI (reprodukcja, regresy), koordynację wydawniczą OTA i komunikację z użytkownikami (CVE, CVSS, release notes).
  • Przeprowadź fuzzing warstw interfejsów (USB/NFC/BT/Wi-Fi) oraz przegląd izolacji uprawnień (SELinux/SCM).

Różnice / porównania z innymi przypadkami

W poprzednim roku (Pwn2Own Ireland 2024) również dochodziło do udanych ataków na popularne urządzenia konsumenckie, lecz w 2025 r. ZDI dołożyło nowy, fizyczny wektor USB w kategorii mobile, co zwiększa realizm scenariuszy ataków (np. „charging kiosk”/złośliwy adapter). Skala tegorocznych wyników dnia drugiego — 56 unikalnych 0-dayów / $792,750 — przewyższyła tempo dnia pierwszego i podkreśla wielowektorowość współczesnych łańcuchów exploitów.

Podsumowanie / kluczowe wnioski

  • Topowe smartfony nie są odporne — nawet najnowszy Galaxy S25 można złamać przy łańcuchu wielobłędowym.
  • Ekosystem „dom-biuro” (NAS, drukarki, smart-home) jest równie podatny i atrakcyjny dla atakujących.
  • Higiena aktualizacji i segmentacja pozostają najskuteczniejszą obroną do czasu publikacji łatek.
  • Śledź komunikaty ZDI i producentów — okno 90 dni to czas na wdrożenie poprawek i polityk ograniczających ryzyko.

Źródła / bibliografia

  1. BleepingComputer: „Pwn2Own Day 2: Hackers exploit 56 zero-days for $790,000” (22 października 2025). (BleepingComputer)
  2. Trend Micro Zero Day Initiative (ZDI): „Pwn2Own Ireland 2025 — Day Two Results” (22 października 2025). (Zero Day Initiative)
  3. BleepingComputer: „Hackers exploit 34 zero-days on first day of Pwn2Own Ireland” (21 października 2025) — dla kontekstu dnia pierwszego. (BleepingComputer)
  4. ZDI: „Pwn2Own Ireland 2025: The Full Schedule” — kategorie, zasady i harmonogram. (Zero Day Initiative)

TP-Link łata cztery luki w bramkach Omada — dwie umożliwiają zdalne wykonanie kodu

Wprowadzenie do problemu / definicja luki

TP-Link opublikował aktualizacje bezpieczeństwa dla bramek Omada (serie ER/G/FR), usuwające cztery podatności, w tym dwie krytyczne luki typu OS Command Injection prowadzące do zdalnego wykonania poleceń (RCE). Producent wskazuje konkretne wersje naprawcze dla 13 modeli, m.in. ER605, ER7206, ER707-M2, ER7412-M2 czy ER8411. Brak informacji o aktywnej eksploatacji, ale zalecane jest pilne patchowanie.

W skrócie

  • 4 CVE: CVE-2025-6541, CVE-2025-6542, CVE-2025-7850, CVE-2025-7851. Dwie z nich umożliwiają RCE (jedna bez uwierzytelnienia).
  • Dotyczy 13 modeli Omada; dostępne są konkretne wersje firmware usuwające problem.
  • CVE-2025-6542 (CVSS 9.3): pre-auth RCE przez interfejs WWW. CVE-2025-6541 (CVSS 8.6): RCE po zalogowaniu.
  • CVE-2025-7850 (CVSS 9.3): RCE po autoryzacji admina; CVE-2025-7851 (CVSS 8.7): podniesienie uprawnień do roota w warunkach ograniczonych.

Kontekst / historia / powiązania

Urządzenia Omada to bramki dla MŚP łączące funkcje routera, zapory i bramy VPN, często zarządzane scentralizowanie przez Omada Controller. W ostatnich miesiącach bramki i routery SOHO różnych producentów są atrakcyjnym celem botnetów i operatorów kampanii z perspektywą lateral movement do sieci firmowych — tym bardziej ważne są aktualizacje „day-0” i ograniczanie ekspozycji paneli administracyjnych. Doniesienia branżowe z 21–22 października 2025 r. wskazują, że TP-Link opublikował dwa osobne biuletyny obejmujące wszystkie cztery luki.

Analiza techniczna / szczegóły luki

Zakres i modele
TP-Link podaje listę modeli i minimalne wersje naprawcze, m.in.:

  • ER8411 ≥ 1.3.3 Build 20251013, ER7412-M2 ≥ 1.1.0 Build 20251015, ER707-M2 ≥ 1.3.1 Build 20251009, ER7206 ≥ 2.2.2 Build 20250724, ER605 ≥ 2.3.1 Build 20251015, ER706W / ER706W-4G ≥ 1.2.1 Build 20250821, ER7212PC ≥ 2.1.3 Build 20251016, G36 ≥ 1.1.4 Build 20251015, G611 ≥ 1.2.2 Build 20251017, FR365 ≥ 1.1.10 Build 20250626, FR205 ≥ 1.0.3 Build 20251016, FR307-M2 ≥ 1.2.5 Build 20251015. Pełna tabela w biuletynach producenta.

CVE i wektory ataku (CVSS v4.0)

  • CVE-2025-65429.3/Critical: pre-auth RCE przez interfejs WWW (atak z sieci, brak uprawnień).
  • CVE-2025-65418.6/High: post-auth RCE — wymaga logowania do panelu.
  • CVE-2025-78509.3/Critical: post-auth RCE możliwe po uwierzytelnieniu admina (wejście przez portal WWW).
  • CVE-2025-78518.7/High: podniesienie uprawnień do roota przy spełnieniu „ograniczonych warunków” (restrykcyjne, ale realne scenariusze).

Źródło i status poprawek
TP-Link opublikował dwa biuletyny bezpieczeństwa (21 października 2025 r.) z obrazami firmware, rekomendując po aktualizacji weryfikację konfiguracji (oraz zmianę hasła — w drugim biuletynie). Doniesienia prasowe (22 października) podkreślają brak informacji o exploitach „in the wild”.

Praktyczne konsekwencje / ryzyko

  • Pełne przejęcie urządzenia (RCE) → modyfikacja routingu/firewalla/VPN, sniffing, pivot do segmentów LAN/WAN.
  • Utrzymanie trwałości (root shell, CVE-2025-7851) → backdoory, proxy w kampaniach DDoS/credential stuffing.
  • Ryzyko łańcuchowe: kompromitacja kontrolera Omada/SSO, dostęp do zasobów chmurowych przez site-to-site VPN.
  • Ekspozycja panelu WWW (przez WAN/niezaufane VLAN-y) znacząco obniża próg ataku — CVE-2025-6542 jest pre-auth.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowa aktualizacja firmware do wersji wskazanych w tabelach dla konkretnego modelu (linki do biuletynów poniżej). Po update:
    • w biuletynie 6541/6542 producent zaleca sprawdzenie konfiguracji,
    • w biuletynie 7850/7851 dodatkowo zmianę haseł admina.
  2. Ogranicz ekspozycję panelu WWW:
    • wyłącz dostęp z WAN / wystaw tylko przez VPN lub admin-VLAN;
    • włącz IP allow-list / ACL dla zarządzania;
    • jeśli musisz publikować, użyj reverse proxy z SSO/MFA i rate-limiting. (Dobra praktyka branżowa; brak sprzeczności z zaleceniami producenta).
  3. Wymuś MFA dla kont administratorów Omada Controller; audytuj tokeny i sesje.
  4. Higiena konfiguracji po aktualizacji: eksport/backup, porównanie reguł firewall/NAT/VPN, sprawdzenie usług (np. Remote Management, UPnP, nieużywane VPN).
  5. Monitoring i detekcja:
    • przegląd logów WWW/SSH i procesów (nietypowe polecenia, reverse shell, crontab);
    • IDS/IPS pod kątem wzorców command injection w żądaniach HTTP do bramki;
    • EDR/NDR w krytycznych segmentach sieci.
  6. Segmentacja i zasada najmniejszych uprawnień na styku VLAN z bramką; ogranicz L3 z segmentów gościnnych/OT do interfejsu zarządzania.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W odróżnieniu od wcześniejszych incydentów w starszych routerach SOHO (często EoL), tutaj mamy aktywnie wspierane modele biznesowe z dostępnymi patchami w dniu publikacji biuletynów. Najgroźniejsza luka (CVE-2025-6542) jest pre-auth, co przypomina liczne kampanie botnetowe atakujące panele WWW bramek — jednak TP-Link jednoznacznie publikuje wersje naprawcze dla całej linii Omada i nie potwierdza exploitów w naturze na moment wydania.

Podsumowanie / kluczowe wnioski

  • Cztery luki w Omada (w tym dwie krytyczne RCE) wymagają pilnego patchowania.
  • Zamknij panel WWW z WAN i ogranicz dostęp administracyjny.
  • Po aktualizacji zweryfikuj konfigurację i zmień hasła (zgodnie z biuletynami).
  • Monitoruj środowisko pod kątem wskaźników nadużyć i testuj ekspozycję urządzeń brzegowych.

Źródła / bibliografia

  1. TP-Link (Omada Support) — CVE-2025-6541/6542: opis, CVSS, modele i wersje naprawcze. (support.omadanetworks.com)
  2. TP-Link (Omada Support) — CVE-2025-7850/7851: opis, CVSS, modele i wersje naprawcze. (support.omadanetworks.com)
  3. The Hacker News — podsumowanie czterech CVE i listy wersji. (22.10.2025). (The Hacker News)
  4. BleepingComputer — omówienie dwóch głównych RCE i odnośniki do biuletynów. (21.10.2025). (BleepingComputer)

Hakerzy wykorzystali SnappyBee (Deed RAT) i lukę w Citrix NetScaler do ataku na europejskiego operatora telekomunikacyjnego

Wprowadzenie do problemu / definicja luki

Na początku lipca 2025 r. europejski dostawca usług telekomunikacyjnych został zaatakowany przez aktora powiązanego z Chinami, śledzonego jako Salt Typhoon (aka Earth Estries / FamousSparrow / GhostEmperor / UNC5807/UNC2286). Wektor wejścia stanowił Citrix NetScaler Gateway (dawniej ADC/Gateway), a po uzyskaniu przyczółka napastnicy przeszli na hosty Citrix Virtual Delivery Agent (VDA) w segmencie Machine Creation Services (MCS). W dalszej fazie zastosowano DLL sideloading z wykorzystaniem podpisanych plików znanego oprogramowania AV oraz wdrożono backdoora SnappyBee (Deed RAT) – uważanego za następcę ShadowPad. Incydent wykryto i zneutralizowano we wczesnym etapie.

W skrócie

  • Aktor: Salt Typhoon (chińska grupa APT ukierunkowana na telekomy i infrastrukturę krytyczną).
  • Wejście: eksploatacja urządzenia Citrix NetScaler Gateway i pivot do hostów Citrix VDA (MCS).
  • Ukrycie: ruch przez SoftEther VPN oraz DLL sideloading na bazie legalnych plików AV (Norton, Bkav, IObit).
  • Malware: SnappyBee/Deed RAT – łańcuch pokrewieństwa do ShadowPad.
  • C2: kontakt z aar.gandhibludtric[.]com (HTTP i niestandardowy TCP).

Kontekst / historia / powiązania

Salt Typhoon od 2019 r. prowadzi długotrwałe kampanie cyberszpiegowskie wobec operatorów telekomunikacyjnych, administracji i sektora energii – na wielu kontynentach. W latach 2024–2025 szereg doniesień (m.in. Reuters) wskazywał na skoordynowane włamania do sieci telekomów w USA i innych krajach, o dużej głębokości utrzymania się w środowiskach ofiar. Amerykańskie instytucje publiczne publikowały ostrzeżenia i środki zaradcze wobec działań aktorów sponsorowanych przez władze ChRL.

Trend Micro profiluje „Earth Estries” jako grupę o bogatym arsenale – od SnappyBee (Deed RAT) po inne niestandardowe implanty – oraz stałej preferencji do utrzymywania się w sieciach telekomunikacyjnych przez długie okresy.

Analiza techniczna / szczegóły luki

Wejście i pivot:

  • Eksploatacja bramy Citrix NetScaler Gateway → ruch atakującego widoczny z zasobów powiązanych z SoftEther VPN (maskowanie pochodzenia).
  • Później pivot do hostów Citrix VDA w podsieci MCS – logiczny krok po przejęciu bramy dostępowej w środowiskach wirtualnych pulpitów.

Egzekucja i ukrywanie (Defense Evasion):

  • DLL sideloading: dostarczenie złośliwych bibliotek w pakiecie z legalnymi EXE antywirusów (Norton AV, Bkav AV, IObit Malware Fighter). To znana technika wielu chińskojęzycznych grup – pozwala ominąć kontrole aplikacji i EDR bazujące na reputacji.

Backdoor / ładunek:

  • SnappyBee (aka Deed RAT) – opisywany jako następca modularnego ShadowPad. Umożliwia zdalne sterowanie, eksfiltrację i rozbudowę funkcji. W innych kampaniach obserwowano rozwinięte „linie rodowe”, np. BLOODALCHEMY jako warianty Deed RAT.

C2 i łączność:

  • Observed C2: aar.gandhibludtric[.]com (HTTP + nieokreślony protokół TCP). Sugeruje hybrydowy model komunikacji i próby mieszania się z ruchem webowym.

Techniki MITRE ATT&CK (mapowanie przykładowe):

  • Initial Access: Exploiting Public-Facing Application (T1190) – urządzenia brzegowe.
  • Defense Evasion/Execution: DLL Search Order Hijacking (T1574.001), Signed Binary Proxy Execution (T1218).
  • Command and Control: Application Layer Protocol – Web Protocols (T1071.001), Non-Standard Port (T1571).
    (Uzasadnienie na bazie opisu Darktrace i zgodności z wcześniejszymi TTP Earth Estries).

Praktyczne konsekwencje / ryzyko

  • Telekomy jako cel o wysokiej wartości: przejęcie bramy zdalnego dostępu (NetScaler) i pivot do VDI zwiększa ryzyko dostępu do systemów OSS/BSS, podsłuchu, danych abonentów, a nawet ruchu sygnalizacyjnego. Globalne doniesienia z 2024–2025 r. potwierdzają, że Salt Typhoon potrafi osiągać głęboki poziom uprzywilejowania i długą obecność.
  • DLL sideloading przez „zaufane” EXE: utrudnia detekcję opartą o reputację i listy zaufanych wydawców – ryzyko false negative w EDR bez silnej telemetrii modułów ładowanych do procesu.
  • SoftEther i inne kanały maskujące: komplikują śledzenie źródeł i korelację zdarzeń na brzegu sieci.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowy przegląd i hardening NetScaler/NetScaler Gateway
    • Upewnij się, że bramy są na najnowszych wersjach i że konfiguracje AAA/Gateway są zgodne z zaleceniami producenta.
    • Włącz nacisk na monitoring anomalii w ruchu do/od urządzeń brzegowych (szczególnie HTTP(S) do nietypowych hostów).
    • Zestaw kontrolek dla Citrix VDA/MCS: ograniczenie lateral movement (mikrosegmentacja, ACL, firewall hostowy).
      (Ogólne zalecenia wynikają z opisu wektora w raporcie Darktrace i ostrzeżeń instytucji dot. PRC aktorów).
  2. Polityki anty-sideloading i „living off trusted binaries”
    • Block/Allow-list na poziomie DLL search order i ścieżek ładowania bibliotek dla aplikacji krytycznych (w tym AV).
    • W EDR/XDR twórz reguły detekcyjne dla: signed EXE + niepodpisany/nieznany DLL w katalogu aplikacji, nieoczekiwane moduły w procesach AV.
  3. Myśli przewodnie dla detekcji C2
    • Reguły na nietypowe domeny oraz C2 over HTTP + nietypowy TCP; korelacja z danymi DNS/SSL SNI (np. „aar.gandhibludtric[.]com”).
    • Uważna inspekcja tuneli VPN typu SoftEther i innych user-space VPN.
  4. Higiena tożsamości i segmentacja
    • MFA, rotacja haseł uprzywilejowanych, Just-In-Time dostępy dla adminów VDI/VDA, tiering kont i serwerów.
    • Mikrosegmentacja podsieci VDI/MCS oraz ograniczenia RDP/SMB z bramy do VDA tylko wg zasady najmniejszych uprawnień.
  5. Ćwiczenia IR + playbook pod APT
    • Scenariusz: kompromitacja urządzenia brzegowego + pivot do VDI + DLL sideloading.
    • Włącz w playbook pre-collection artefaktów: listy załadowanych modułów, ścieżki DLL, telemetry z NetScaler/Gateway i VDA.

Różnice / porównania z innymi przypadkami (telekomy 2024–2025)

W porównaniu do ujawnionych w 2024–2025 r. kampanii Salt Typhoon przeciwko telekomom w USA (AT&T, Verizon i inni), obecny przypadek z UE pokazuje zbliżony modus operandi: wejście przez urządzenia brzegowe, długotrwałość, nacisk na ukrycie i pozyskiwanie danych o wysokiej wartości. Elementem wyróżniającym jest udokumentowane użycie SnappyBee/Deed RAT dostarczanego przez DLL sideloading na bazie plików AV, co Darktrace opisuje bardzo konkretnie dla tej operacji.

Podsumowanie / kluczowe wnioski

  • Salt Typhoon pozostaje jednym z najgroźniejszych aktorów dla telekomów – atakuje edge (Citrix), szybko pivotuje do VDI i utrzymuje się dzięki sideloadingowi i niestandardowym backdoorom (SnappyBee/Deed RAT).
  • Nawet podpisane i „zaufane” binaria (AV) mogą stać się nośnikiem ładunków – procesy AV trzeba monitorować jak aplikacje wysokiego ryzyka.
  • Obrona wymaga twardych aktualizacji Citrix, telemetrii DLL, dyscypliny segmentacyjnej w VDI/MCS oraz analityki C2. Zalecenia CISA dot. aktorów państwowych wspierają takie podejście.

Źródła / bibliografia

  1. Darktrace – opis incydentu i TTP: „Darktrace’s view on a recent Salt Typhoon intrusion” (opublikowano 20 października 2025). (darktrace.com)
  2. The Hacker News – „Hackers Used Snappybee Malware and Citrix Flaw to Breach European Telecom Network” (21 października 2025). (The Hacker News)
  3. Trend Micro – „Breaking Down Earth Estries’ Persistent TTPs in Prolonged Cyber Operations” (8 listopada 2024) – kontekst SnappyBee/Deed RAT i Earth Estries. (www.trendmicro.com)
  4. CISA – „Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide” (3 września 2025) – zalecenia strategiczne dot. aktorów PRC. (CISA)
  5. Reuters – „AT&T, Verizon targeted by Salt Typhoon…” (29 grudnia 2024) – tło i skala kampanii na telekomy. (Reuters)

CISA dodaje pięć nowych luk do katalogu KEV: Oracle E-Business Suite, Microsoft SMB, Kentico Xperience i starsza luka w Apple WebKit

Wprowadzenie do problemu / definicja luki

20 października 2025 r. amerykańska CISA dodała pięć nowych podatności do katalogu Known Exploited Vulnerabilities (KEV) – listy luk z potwierdzoną aktywną eksploatacją w środowiskach produkcyjnych. Dla administracji federalnej USA oznacza to obowiązek szybkiego remediowania, ale lista KEV jest de facto priorytetyzatorem patchy także dla sektora prywatnego na całym świecie. Nowe wpisy obejmują m.in. Oracle E-Business Suite, Windows SMB Client, Kentico Xperience oraz starszą lukę w Apple WebKit/JavaScriptCore.

W skrócie

  • CVE-2025-61884 (Oracle E-Business Suite, Runtime/Configurator)SSRF, zdalnie i bez uwierzytelnienia, umożliwia dostęp do zasobów wewnętrznych. Patch: Security Alert Oracle z 11–12 października 2025.
  • CVE-2025-33073 (Microsoft Windows SMB Client)improper access control / EoP (eskalacja uprawnień po sieci). Załatane przez Microsoft w czerwcowych aktualizacjach 2025.
  • CVE-2025-2746 (Kentico Xperience, Staging Sync Server, digest/empty SHA1 username)bypass uwierzytelniania, krytyczna.
  • CVE-2025-2747 (Kentico Xperience, Staging Sync Server, password type = None)bypass uwierzytelniania, krytyczna. Poprawki dostępne (hotfixy > 13.0.178).
  • CVE-2022-48503 (Apple WebKit/JavaScriptCore)RCE przez treść WWW (bounds check). Załatane w 2022 r. (iOS/iPadOS 15.6, macOS 12.5, Safari 15.6, tvOS 15.6, watchOS 8.7).

Termin dla FCEB (USA): do 10 listopada 2025 r. (remediacja nowych pozycji). Dla wszystkich innych organizacji – rekomendowane niezwłoczne działania.

Kontekst / historia / powiązania

  • Oracle EBS było już w październiku w centrum uwagi z powodu dwóch głośnych luk (w tym RCE CVE-2025-61882). Najnowsza CVE-2025-61884 to kolejny krytyczny element łańcucha ataku wykorzystywany w kampaniach wyłudzeniowych i eksfiltracyjnych.
  • Kentico Xperience: dwa różne błędy w module Staging Sync Server umożliwiają ominięcie uwierzytelnienia i przejęcie obiektów administracyjnych; to typowy „pre-auth” krok prowadzący do RCE.
  • Microsoft SMB Client (CVE-2025-33073): znany wektor lateral movement; po załataniu nadal wymaga utwardzenia konfiguracji SMB.
  • Apple WebKit (CVE-2022-48503): starsza, ale wciąż eksploatowana luka w JSCore, co dowodzi, że długo nieaktualizowane urządzenia pozostają atrakcyjnym celem.

Analiza techniczna / szczegóły luki

Oracle E-Business Suite – CVE-2025-61884 (SSRF):

  • Komponent: Runtime (Oracle Configurator).
  • Wektor: zdalny, bez uwierzytelnienia; SSRF pozwala proxy’ować żądania do zasobów wewnętrznych (np. serwisy admin, metadane chmurowe), potencjalnie eskalując do RCE w łańcuchu ataku.
  • Status: Security Alert i poprawki dostępne od 11–12.10.2025.

Windows – CVE-2025-33073 (SMB Client, EoP):

  • Charakter: improper access control w kliencie SMB; umożliwia eskalację uprawnień w kontekście sieciowym po uwierzytelnieniu (typowo w ramach ruchu wewnętrznego).
  • Status: załatane w June 2025 (Patch Tuesday).

Kentico Xperience – CVE-2025-2746 / CVE-2025-2747 (Auth bypass):

  • Moduł: Staging Sync Server (SOAP).
  • 2746: obsługa pustych nazw użytkownika (SHA1) w digest auth → przejęcie obiektów administracyjnych.
  • 2747: obsługa password type = None → analogiczny bypass.
  • Zasięg: wersje do 13.0.172/178 (zależnie od CVE).
  • Skutek: pre-auth takeover CMS i typowe przejście do RCE poprzez import obiektów/zadań.

Apple – CVE-2022-48503 (WebKit/JavaScriptCore):

  • Błąd: niewłaściwe sprawdzanie zakresów (bounds); przetworzenie złośliwej treści WWW → RCE.
  • Załatane od lipca 2022 w szeregu platform (iOS/iPadOS/macOS/Safari/watchOS/tvOS). Eksploatacja w 2025 dotyczy głównie niezaktualizowanych urządzeń.

Praktyczne konsekwencje / ryzyko

  • Oracle EBS (SSRF): ryzyko eksfiltracji danych i pivotu do usług wewnętrznych (np. API, usługi konfiguracyjne, metadane chmurowe). W kampaniach obserwowano dalszą eskalację i wymuszenia.
  • Windows SMB Client: ułatwia ruch boczny po początkowym wstępie (np. po phishingu), szczególnie w sieciach z szeroko otwartym SMB i słabą segmentacją.
  • Kentico Xperience: pełne przejęcie CMS i możliwość wstrzyknięcia złośliwych artefaktów do łańcucha CI/CD treści, a następnie drive-by na użytkowników końcowych.
  • Apple WebKit: RCE z przeglądarki na urządzeniach nieobsługiwanych/nieaktualnych – cenne cele dla ataków ukierunkowanych i masowych (watering hole).

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowa inwentaryzacja i priorytetyzacja pod kątem nowych wpisów KEV (SBOM, CMDB, EDR, skanery, zapytania do MDM/Intune/Jamf). Traktuj KEV jako backlog „patch-first”.
  2. Oracle EBS (CVE-2025-61884):
    • Zastosuj Security Alert/patch Oracle bez zwłoki.
    • W krótkim terminie – egress filtering z hostów EBS oraz deny-list do metadanych chmurowych/IMDS, WAF z regułami SSRF, segmentacja sieci.
  3. Windows (CVE-2025-33073):
    • Upewnij się, że June 2025 CU jest wdrożony wszędzie; wymuś SMB signing, ogranicz NTLM, egzekwuj firewall hostowy i LAPS.
  4. Kentico Xperience (CVE-2025-2746/2747):
    • Aktualizuj do hotfixów > 13.0.178 (lub zgodnie z zaleceniami producenta); jeśli Staging Sync Server nie jest niezbędny – wyłącz; wymuś TLS/mTLS i IP allow-list na endpointach stagingu.
  5. Apple (CVE-2022-48503):
    • Wycofaj lub zaktualizuj urządzenia do wersji zawierających łatę (min. iOS/iPadOS 15.6, macOS 12.5, Safari 15.6 itd.). W MDM dodaj reguły blokujące przeglądarki na EOL.
  6. Detekcja i hunting (przykłady):
    • Szukaj nietypowych wywołań HTTP z EBS do adresów wewnętrznych/IMDS, wzorce SSRF (HTTP 169.254.169.254, metadane chmury).
    • Koreluj anomalie SMB (nietypowe sesje, masowe enumeracje, wzrost STATUS_ACCESS_DENIED) po ostatnich logowaniach z niskich poziomów uprawnień.
    • Logi Kentico: żądania do endpointów Staging SOAP bez prawidłowego kontekstu uwierzytelnienia; nagłe zmiany obiektów administracyjnych.
  7. Zarządzanie ryzykiem biznesowym: wpisz nowe CVE do Risk Register, przypisz SLA < 14 dni (dla KEV – najlepiej 7–10 dni), egzekwuj kompensacje (WAF, segmentacja) tam, gdzie patch chwilowo niemożliwy.

Różnice / porównania z innymi przypadkami

  • SSRF (Oracle) to wektor często niedoszacowany – w przeciwieństwie do klasycznego RCE, SSRF bywa „cichym” krokiem do pivotu; porównaj z wcześniejszymi kampaniami na IMDS w chmurze.
  • Auth-bypass w Kentico to przykład pre-auth przejęcia panelu CMS – podobnie jak znane łańcuchy w innych CMS, ale tutaj Sync Server jest unikatowym komponentem API.
  • SMB EoP przypomina inne luki w ekosystemie Windows, gdzie słaba segmentacja zamienia medium-severity w krytyczne ryzyko lateral movement.

Podsumowanie / kluczowe wnioski

  • Dodanie pięciu pozycji do KEV to jasny sygnał: eksploatacja trwa.
  • Priorytet 1: Oracle EBS (SSRF) oraz Kentico (auth-bypass), ponieważ dają szybkie przejęcie środowisk internetowych.
  • Priorytet 2: Windows SMB (EoP) – kluczowe dla ograniczenia ruchu bocznego.
  • Higiena podstawowa: aktualizacje Apple/WebKit na urządzeniach zalegających w starszych wersjach.
  • Termin dla agencji FCEB: 10.11.2025 – dobry celowy SLA także dla firm prywatnych.

Źródła / bibliografia

  1. CISA – Alert z 20 października 2025: „CISA Adds Five Known Exploited Vulnerabilities to Catalog”. (CISA)
  2. The Hacker News – „Five New Exploited Bugs Land in CISA’s Catalog — Oracle and Microsoft Among Targets” (lista CVE, termin 10.11.2025). (The Hacker News)
  3. Oracle – Security Alert: CVE-2025-61884 (E-Business Suite). (Oracle)
  4. NVD – CVE-2025-33073 (Windows SMB Client). (NVD)
  5. NVD – CVE-2025-2747 (Kentico Xperience, Staging Sync Server). (NVD)

ICS Patch Tuesday (październik 2025): łatki od Siemens, Schneider Electric, Rockwell, ABB i Phoenix Contact – co musisz zrobić dziś

Wprowadzenie do problemu / definicja luki

Tegoroczny ICS Patch Tuesday (15 października 2025 r.) przyniósł serię biuletynów bezpieczeństwa od czołowych dostawców OT/ICS. Najważniejsze: krytyczne błędy w produktach Siemens (TeleControl/ET 200SP, SiPass), poprawki Rockwell (m.in. FactoryTalk, NAT router 1783-NATR, moduły 1715), aktualizacje ABB (B&R) oraz Phoenix Contact (QUINT4 UPS, CHARX SEC-3xxx). Część problemów umożliwia zdalne, nieautoryzowane działania, w tym pozyskanie skrótów haseł, obejście uwierzytelniania, a nawet modyfikację konfiguracji urządzeń.

W skrócie

  • Siemens: krytyczne luki w SIMATIC ET 200SP CP (brak wymaganego uwierzytelnienia dla połączeń konfiguracyjnych) oraz TeleControl Server Basic (ujawnienie skrótów haseł); dodatkowo wiele poważnych usterek w SiPass integrated i poprawki dla Solid Edge.
  • Rockwell: nowe i zaktualizowane porady dot. m.in. FactoryTalk (priv-esc, DoS/XXE), 1783-NATR (krytyczne problemy auth/NAT) oraz 1715 EtherNet/IP (DoS).
  • ABB (B&R): seria porad dot. Automation Runtime SDM, MConfig i innych komponentów.
  • Phoenix Contact: zestaw podatności w QUINT4-UPS EIP (DoS, wyciek poświadczeń) i CHARX SEC-3xxx (command injection z uprawnieniami root).
  • Moxa: październikowe porady dot. twardo zakodowanych kluczy SSH i słabych szyfrów w serii TRC-2190.

Kontekst / historia / powiązania

Patch Tuesday dla ICS/OT konsoliduje ogłoszenia wielu vendorów, co pomaga działom OT skoordynować okna serwisowe. Ten cykl przyniósł ponad 20 biuletynów, a najgłośniejsze poprawki dotyczą produktów wdrażanych w segmentach: energetyka, produkcja dyskretna, automatyka budynkowa i e-mobilność. SecurityWeek podsumował je zbiorczo, a szczegóły techniczne potwierdzają portale producentów oraz CERT-y branżowe.

Analiza techniczna / szczegóły luki

Siemens

  • SIMATIC ET 200SP Communication ProcessorsCVE zbiorcze, CVSS 9.8/9.3: luka w uwierzytelnianiu umożliwia nieautoryzowany dostęp do danych konfiguracyjnych z sieci; wymaga aktualizacji wg SSA-486936.
  • TeleControl Server Basic – podatność ujawniająca hash’e haseł użytkowników, co może umożliwić późniejsze logowanie i operacje na bazie; wymaga aktualizacji do wersji łatającej gałąź 3.1.2.x.
  • SiPass integrated (< 3.0)łańcuch błędów pozwalających atakującemu m.in. przejąć konta, manipulować danymi i wykonać kod po stronie serwera.

Rockwell Automation

  • Zestaw porad dla FactoryTalk (Linx, View ME/PanelView Plus 7, ViewPoint) dot. eskalacji uprawnień i DoS; dodatkowo poprawki dla 1783-NATR (uwierzytelnianie i modyfikacja reguł NAT) i 1715 EtherNet/IP (DoS). Szczegółowe wyliczenie luk i produktów – w przeglądzie Patch Tuesday.

ABB (B&R)

  • Automation Runtime – SDM: zestaw problemów (m.in. przejęcie sesji/kod), a także inne świeże biuletyny (np. MConfig – ujawnianie haseł w czystym tekście). Lista i dokumenty PDF/CSAF dostępne w portalu ABB/B&R.

Phoenix Contact

  • QUINT4-UPS EIP – wiele CVE: od DoS wywoływanego zdalnie po pozyskanie poświadczeń;
  • CHARX SEC-3xxxcommand injection z root w firmware (zalecana aktualizacja do FW 1.7.4 wg najnowszej noty CERT@VDE).

Moxa

  • TRC-2190 – poprawki dotyczą twardo zakodowanych kluczy SSH i problemów kryptograficznych (SWEET32/średnia siła szyfrów).

Praktyczne konsekwencje / ryzyko

  • Utrata integralności i dostępności systemów: DoS na modułach sieciowych/UPS może wstrzymać komunikację lub zasilanie linii technologicznej.
  • Nieautoryzowana konfiguracja/sterowanie: luki auth (Siemens ET 200SP, Rockwell 1783-NATR) pozwalają modyfikować parametry sieci/urządzeń.
  • Przejęcie kont i eskalacja uprawnień: SiPass oraz FactoryTalk (wybrane komponenty) umożliwiają impersonację i wykonanie kodu.
  • Łańcuch ataku od IT do OT: słabe SSH/certyfikaty (Moxa) ułatwiają rozpoznanie i pivot na segment OT.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytetyzuj:
    • Krytyczne: Siemens ET 200SP CP, TeleControl Server Basic, Phoenix Contact CHARX, Rockwell 1783-NATR / 1715.
  2. Zaplanuj okna serwisowe i zastosuj łatki/aktualizacje firmware zgodnie z poradami producentów (Siemens ProductCERT, ABB/B&R, Phoenix Contact PSIRT).
  3. Zredukuj ekspozycję: segmentacja sieci (L3/L2), ACL, zamknięcie interfejsów konfiguracyjnych na CP/serwerach HMI/SCADA, firewall dla CHARX (zalecenie producenta).
  4. Zarządzaj poświadczeniami: natychmiastowa rotacja haseł / wyłączenie kont domyślnych, wymuszenie MFA tam, gdzie dostępne; audyt wycieków hashy (TeleControl).
  5. Twardy hardening: wyłączenie zbędnych usług (np. SDM w B&R jeśli nieużywany), ujednolicenie konfiguracji SSH/kryptografii, monitoring XXE/DoS na usługach webowych (FactoryTalk ViewPoint).
  6. Detekcja i reagowanie: reguły IDS/IPS dla Modbus/TCP, CIP, OPC UA; logowanie zmian NAT/konfiguracji; playbooki IR dla utraty zasilania/UPS. (ogólne dobre praktyki OT)

Różnice / porównania z innymi przypadkami

  • Brak uwierzytelniania vs. słabe szyfry: ET 200SP/1783-NATR to logiczne obejście kontroli dostępu, podczas gdy Moxa TRC-2190 to słabość kryptograficzna obniżająca próg wejścia dla MITM.
  • Serwery dostępu fizycznego (SiPass) vs. komponenty sieciowe (1715/CP/NAT): pierwsze grozi przejęciem tożsamości i RCE w aplikacji, drugie – trwałym zakłóceniem komunikacji/sterowania.

Podsumowanie / kluczowe wnioski

  • Październikowy Patch Tuesday w OT/ICS to krytyczne poprawki, których wdrożenie powinno być priorytetem w tym tygodniu.
  • Skup się na: Siemens ET 200SP/TeleControl/SiPass, Rockwell FactoryTalk & urządzenia sieciowe, Phoenix Contact QUINT4 & CHARX, ABB/B&R SDM, Moxa TRC-2190.
  • Poza łataniem, segmentacja + hardening + monitoring znacząco ograniczają ryzyko eksploatacji.

Źródła / bibliografia

  1. SecurityWeek – zbiorcze podsumowanie ICS Patch Tuesday (15.10.2025). (SecurityWeek)
  2. Siemens ProductCERT – SSA-486936 (SIMATIC ET 200SP CP – authentication vuln). (cert-portal.siemens.com)
  3. Siemens ProductCERT – SSA-599451 (SiPass integrated < 3.0 – multiple vulns). (cert-portal.siemens.com)
  4. CERT@VDE – Advisories – Phoenix Contact QUINT4-UPS EIP i CHARX SEC-3xxx (CVE pakiet + rekomendacje). (certvde.com)
  5. ABB/B&R – Cyber Security: Alerts and Notifications – B&R Automation Runtime SDM, MConfig, EIBPORT (październik 2025). (ABB Group)

SonicWall: masowe przejęcia kont SSL VPN po incydencie z kopią zapasową konfiguracji — co wiemy i co robić

Wprowadzenie do problemu / definicja luki

10 października 2025 r. firma Huntress ostrzegła przed szeroko zakrojoną kampanią przejęć kont SonicWall SSL VPN, w której napastnicy logowali się „lawinowo” na wiele kont, najpewniej używając prawidłowych poświadczeń, a nie siłowego łamania haseł. Do 10 października skompromitowano ponad 100 kont w 16 środowiskach, a znaczna część aktywności zaczęła się 4 października. SecurityWeek potwierdził skalę zjawiska, powołując się na dane Huntress.

W skrócie

  • Co się stało: trwają ataki polegające na poprawnym logowaniu do kont SSL VPN w urządzeniach SonicWall (bez brute force). Jedno ze źródeł logowań wskazuje na adres 202.155.8[.]73.
  • Kontekst: kilka dni wcześniej SonicWall ujawnił, że nieuprawniony dostęp do usługi MySonicWall Cloud Backup objął wszystkich klientów przechowujących kopie konfiguracji firewalli (pierwotnie szacowano <5%).
  • Czy sprawy są powiązane? Huntress nie ma dowodów na bezpośrednie powiązanie, ale go nie wyklucza.
  • Ryzyko: wyciek zaszyfrowanych poświadczeń i danych konfiguracyjnych może ułatwić ataki ukierunkowane; obserwowane są także skanowania sieci i próby dostępu do kont w domenie.

Kontekst / historia / powiązania

8 października 2025 r. SonicWall zaktualizował poradnik incydentowy, kończąc dochodzenie (z Mandiant) i potwierdzając, że wszystkie kopie konfiguracji przechowywane w chmurze były dostępne dla atakującego. CISA z kolei opublikowała ostrzeżenie i wskazówki dla klientów SonicWall w związku z tym zdarzeniem.

W lipcu–wrześniu obserwowano równolegle aktywność związaną z ransomware Akira i urządzeniami SonicWall/SMA/SSL VPN; mimo że to inna oś narracji, podkreśla ona rosnącą atrakcyjność ekosystemu SonicWall dla grup przestępczych.

Analiza techniczna / szczegóły luki

  • Wektor dostępu w bieżącej kampanii: logowania z prawidłowymi poświadczeniami do SSL VPN (szybkie serie logowań; brak oznak bruteforce). Część sesji kończy się natychmiastowym rozłączeniem, w innych przypadkach stwierdzono działania potexploitacyjne (skanowanie, próby dostępu do lokalnych kont Windows).
  • Incydent chmurowy MySonicWall: napastnik uzyskał dostęp do plików kopii konfiguracji (zawierających m.in. zaszyfrowane hasła/sekrety, reguły, ustawienia VPN, integracje LDAP/RADIUS/TACACS+, SNMP, itp.). SonicWall udostępnił klientom listy dotkniętych urządzeń i klasyfikację priorytetów (Active High/Low/Inactive).
  • Status powiązania zdarzeń: Huntress podkreśla brak dowodu, że masowe logowania są bezpośrednim skutkiem incydentu kopii zapasowej — ale taka możliwość istnieje (np. odtworzenie haseł/sekretów, korelacja konfiguracji).

Praktyczne konsekwencje / ryzyko

  • Ryzyko nadużyć poświadczeń: nawet jeśli dane w kopiach były zaszyfrowane, metadane i konfiguracje mogą obniżyć koszt rekonesansu i ułatwić obejście zabezpieczeń perymetrowych.
  • Ryzyko lateral movement: potwierdzone skanowanie sieci i próby kompromitacji kont AD wskazują na możliwość szybkiej eskalacji uprawnień po wejściu przez SSL VPN.
  • Ryzyko „cichego” dostępu: część aktorów kończy sesję bez dalszych działań — możliwe przygotowanie do późniejszych kampanii lub testy ważności poświadczeń. (Wniosek na podstawie obserwacji Huntress).

Rekomendacje operacyjne / co zrobić teraz

Poniższe kroki zbierają zalecenia SonicWall, Huntress i CISA — w kolejności „od teraz do stabilizacji”:

  1. Natychmiast ogranicz zdalne zarządzanie i dostęp WAN (HTTP/HTTPS/SSH/SSL VPN), aż do pełnej rotacji sekretów; jeśli to możliwe, odetnij zarządzanie z Internetu.
  2. Wymuś pełną rotację wszystkich sekretów powiązanych z firewallami/SSL VPN: hasła lokalnych adminów, pre-shared keys VPN, klucze/hasła do LDAP/RADIUS/TACACS+, PSK Wi-Fi, SNMP, API (DDNS, SMTP/FTP, automatyzacje).
  3. Zmień hasła w MySonicWall i wszystkich zewnętrznych integracjach; usuń stare kopie w chmurze, wykonaj nowe lokalne (po rotacji). Sprawdź portal MySonicWall → Product Management → Issue List i priorytety urządzeń.
  4. Włącz/Mandatuj MFA dla wszystkich kont administracyjnych i zdalnych; zrewiduj role i zasady najmniejszych uprawnień.
  5. Zwiększ logowanie i retencję: przeanalizuj nietypowe logowania, zmiany konfiguracji, zestawienia tuneli; zachowaj logi do analizy powłamaniowej.
  6. Stopniowo przywracaj usługi po rotacji haseł, monitorując, czy nie powracają nieautoryzowane logowania.
  7. Zastosuj wskazówki CISA/SonicWall z aktualnych poradników dot. incydentu chmurowego i twardnienia konfiguracji.

Różnice / porównania z innymi przypadkami

  • Nie jest to klasyczna luka „do załatania” w firmware (jak CVE-2024-40766 w przeszłości), lecz konsekwencje kompromitacji usługi kopii zapasowej i/lub wtórnego nadużycia poświadczeń — dlatego kluczowe są rotacja sekretów i hardening, a nie patch.
  • Kampania logowań (październik 2025) różni się od wcześniejszych fal, gdzie wykorzystywano podatności SMA/SSL VPN lub 0-daye; tutaj dominują poprawne logowania i „masowe” użycie jednego adresu źródłowego.

Podsumowanie / kluczowe wnioski

  • 8–10 października 2025 r.: SonicWall finalizuje dochodzenie (z Mandiant) i potwierdza pełny zakres incydentu kopii konfiguracyjnych w chmurze; niemal równolegle Huntress sygnalizuje masowe przejęcia kont SSL VPN z użyciem prawidłowych poświadczeń.
  • Brak twardego dowodu na związek, ale ryzyko wtórnych nadużyć jest wysokie.
  • Priorytetem jest szybka rotacja wszystkich sekretów, ograniczenie ekspozycji usług i wzmożony monitoring.

Źródła / bibliografia

  1. SecurityWeek — SonicWall SSL VPN Accounts in Attacker Crosshairs, 13 paź 2025. SecurityWeek
  2. Huntress — Threat Advisory: Widespread SonicWall SSLVPN Compromise, 10 paź 2025. Huntress
  3. SonicWall — MySonicWall Cloud Backup File Incident (aktualizacja 8 paź 2025). SonicWall
  4. CISA — SonicWall releases advisory… (22 wrz 2025). CISA
  5. SecurityWeek — All SonicWall Cloud Backup Users Had Firewall Configurations Stolen, 9 paź 2025. SecurityWeek

Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań

Fundamenty efektywnego promptowania

Prompty AI to nic innego jak instrukcje lub pytania, które zadajemy modelom sztucznej inteligencji (np. ChatGPT), aby uzyskać od nich użyteczną odpowiedź. Odpowiednio sformułowane prompty potrafią znacznie usprawnić pracę specjalistów ds. bezpieczeństwa informacji – od analizy zagrożeń, przez automatyzację żmudnych zadań, po cele edukacyjne. Nic dziwnego, że w ostatnim czasie ChatGPT stał się gorącym tematem w IT – znajduje coraz szersze zastosowanie, także w cybersecurity.

Czytaj dalej „Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań”