Archiwa: Firewall - Strona 9 z 22 - Security Bez Tabu

Tag: Firewall

Palo Alto Networks ostrzega: luka DoS w PAN-OS (CVE-2026-0227) może „wyłączyć” firewalle przez tryb maintenance

Wprowadzenie do problemu / definicja luki

Palo Alto Networks opublikowało ostrzeżenie dotyczące podatności CVE-2026-0227 w systemie PAN-OS, która pozwala niezautoryzowanemu atakującemu doprowadzić do odmowy usługi (DoS) na firewallu. Kluczowy szczegół: wielokrotne wywołanie błędu może przełączyć urządzenie w tryb maintenance mode, co w praktyce oznacza utratę ochrony realizowanej przez firewall do czasu ręcznego odtworzenia działania.

W skrócie

  • Co: DoS w GlobalProtect Gateway/Portal (PAN-OS / Prisma Access), skutkujący przejściem firewalla w maintenance mode po powtarzaniu ataku.
  • Kto może zaatakować: atak bez uwierzytelnienia, z sieci (AV:N), bez interakcji użytkownika.
  • Wpływ: przede wszystkim dostępność (Availability = High), ryzyko przerwy w łączności i „wyłączenia” egzekwowania polityk.
  • Ocena: CVSS-BT 7.7 (HIGH); Palo Alto oznacza Exploit Maturity: PoC.
  • Status eksploatacji: producent deklaruje, że nie ma wiedzy o złośliwej eksploatacji w momencie publikacji.
  • Działanie naprawcze: aktualizacja do wydań wskazanych przez producenta (patrz sekcja rekomendacji).

Kontekst / historia / powiązania

GlobalProtect to jeden z najczęściej wystawianych na internet komponentów ekosystemu Palo Alto (VPN/remote access), więc jest naturalnym celem kampanii zarówno na podatności, jak i na brute force. Media branżowe zwracają uwagę na to, że powierzchnia ataku firewalli/VPN-ów stale przyciąga napastników, bo skuteczny incydent na brzegu sieci daje efekt „domina” dla reszty organizacji.

Warto też pamiętać, że „maintenance mode po powtarzaniu DoS” to wzorzec, który pojawiał się już w innych lukach PAN-OS (np. historyczne przypadki DoS prowadzące do rebootów i maintenance mode).

Analiza techniczna / szczegóły luki

Z komunikatu PSIRT Palo Alto wynika, że:

  • podatność dotyczy PAN-OS oraz Prisma Access wyłącznie w konfiguracjach z włączonym GlobalProtect gateway lub portal (warunek ekspozycji),
  • atak jest zdalny i bez uwierzytelnienia, a powtarzanie wywołania błędu może doprowadzić do maintenance mode wymagającego interwencji użytkownika/administratora,
  • klasyfikacja słabości to CWE-754 (Improper Check for Unusual or Exceptional Conditions).

Wersje/linie i poprawki (wycinek najważniejszych):

  • PAN-OS 12.1: aktualizacja do 12.1.4 lub nowszej,
  • PAN-OS 11.2: do 11.2.10-h2 lub nowszej (alternatywnie gałęzie pośrednie wg tabeli producenta),
  • PAN-OS 11.1: do 11.1.13 lub nowszej,
  • PAN-OS 10.2: do wersji „fixed” wskazanych przez Palo Alto (np. 10.2.18-h1 i inne poprawione buildy),
  • PAN-OS 10.1: do 10.1.14-h20 lub nowszej,
  • Prisma Access: poprawione buildy dla gałęzi 10.2 i 11.2 są dostępne; Palo Alto informuje, że większość instancji w chmurze została już zaktualizowana, a reszta jest doschedulowana.

Dodatkowy niuans operacyjny: mimo że advisory odsyła do NVD, w momencie sprawdzania wpis może nie być jeszcze dostępny w bazie (NVD potrafi mieć opóźnienia / statusy „not found”).

Praktyczne konsekwencje / ryzyko

Największe ryzyko jest „nudne, ale bolesne”: utrata dostępności brzegowej kontroli ruchu i potencjalna przerwa w zdalnym dostępie (VPN) lub publikowanych usługach, jeśli urządzenie pełni krytyczną rolę na styku. Przy przejściu w maintenance mode organizacja może zostać zmuszona do:

  • ręcznego przywracania działania,
  • przełączeń awaryjnych (HA/failover),
  • odtwarzania usług z pominięciem standardowych ścieżek kontroli bezpieczeństwa.

W praktyce atak DoS na firewall bywa też „zasłoną dymną”: w czasie, gdy zespół walczy z przywróceniem dostępu, rośnie okno na inne działania (phishing, próby przejęć kont, skanowanie). To nie wynika wprost z advisory, ale jest typowym scenariuszem operacyjnym przy incydentach na brzegu.

Rekomendacje operacyjne / co zrobić teraz

  1. Zidentyfikuj ekspozycję
  • Sprawdź, czy masz włączony GlobalProtect gateway/portal na instancjach PAN-OS/Prisma Access (to warunek podatności).
  1. Patchuj priorytetowo (najlepiej w trybie change “hot”)
  • Zaktualizuj do wersji wskazanych przez producenta dla Twojej gałęzi (12.1 / 11.2 / 11.1 / 10.2 / 10.1).
  1. Jeśli patch nie może wejść natychmiast (kompensacja ryzyka)
    Producent wskazuje brak „workaroundu” w sensie eliminacji podatności, ale możesz ograniczać ryzyko operacyjnie:
  • ogranicz ekspozycję GlobalProtect (np. allowlist adresów źródłowych do portalu/gateway, segmentacja dostępu),
  • włącz/zweryfikuj rate limiting / DDoS protection przed usługą (tam gdzie to możliwe),
  • wzmocnij monitoring pod kątem symptomów DoS i restartów/maintenance mode (alerty z logów, korelacje).
  1. Przygotuj plan „recovery”
  • upewnij się, że masz procedurę powrotu z maintenance mode (dostęp out-of-band, uprawnienia, okna serwisowe),
  • sprawdź HA: czy failover nie przeniesie problemu na drugą jednostkę przy ataku na oba węzły.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • CVE-2026-0227 dotyczy ścieżki GlobalProtect (gateway/portal) i wymaga konkretnej konfiguracji ekspozycji.
  • Dla kontrastu, historyczne DoS-y PAN-OS bywały związane np. z innymi funkcjami dataplane (np. DNS Security logging w CVE-2024-3393), ale efekt operacyjny mógł wyglądać podobnie: reboot/maintenance mode po powtarzaniu wyzwalacza.

Podsumowanie / kluczowe wnioski

  • To podatność DoS o wysokiej istotności (CVSS-BT 7.7), która może wyłączyć egzekwowanie ochrony przez przełączenie firewalla w maintenance mode po powtarzaniu ataku.
  • Ryzyko jest najwyższe tam, gdzie GlobalProtect jest wystawiony do internetu i krytyczny dla ciągłości działania (zdalny dostęp, dostęp do aplikacji).
  • Najlepsza odpowiedź jest prosta: aktualizacja do wskazanych buildów + wzmocnienie monitoringu i gotowości recovery.

Źródła / bibliografia

  1. Palo Alto Networks PSIRT Advisory: CVE-2026-0227 – PAN-OS: Firewall DoS in GlobalProtect Gateway and Portal. (security.paloaltonetworks.com)
  2. BleepingComputer: Palo Alto Networks warns of DoS bug letting hackers disable firewalls (15 stycznia 2026). (BleepingComputer)
  3. The Hacker News: Palo Alto Fixes GlobalProtect DoS Flaw That Can Crash Firewalls Without Login (15 stycznia 2026). (The Hacker News)
  4. TechRadar Pro: Palo Alto patches a worrying security issue… (15 stycznia 2026). (TechRadar)
  5. NIST NVD: informacja o braku wpisu dla CVE-2026-0227 w momencie sprawdzania. (NVD)

Belgijski szpital AZ Monica odłącza serwery po cyberataku: odwołane zabiegi, transfer pacjentów i praca „na papierze”

Wprowadzenie do problemu / definicja luki

Incydenty cybernetyczne w ochronie zdrowia rzadko kończą się „tylko” utrudnieniami administracyjnymi. Gdy systemy EHR (elektroniczna dokumentacja medyczna), rejestracja, diagnostyka obrazowa czy łączność zespołów ratownictwa przestają działać, skutki natychmiast dotykają ciągłości leczenia i bezpieczeństwa pacjentów.

Tak właśnie wyglądał scenariusz w belgijskiej sieci szpitali AZ Monica (Antwerpia i Deurne), która po wykryciu ataku zdecydowała się na radykalny, ale często konieczny krok: odłączenie całej infrastruktury serwerowej, co przełożyło się na odwołane operacje, ograniczoną pracę SOR-u i transfer części pacjentów w stanie krytycznym.

W skrócie

  • AZ Monica odłączył wszystkie serwery po „poważnym zakłóceniu” IT; w relacjach pojawia się godzina ok. 6:32 jako moment decyzji/reakcji.
  • Wstrzymano planowe procedury i operacje; SOR działał w ograniczonym zakresie, a część usług ratunkowych (MUG/PIT) była czasowo niedostępna.
  • Siedmiu pacjentów wymagających intensywnej opieki przetransportowano do innych placówek przy wsparciu Czerwonego Krzyża.
  • Dostęp do cyfrowych kart pacjenta był utrudniony, więc szpital przeszedł na procedury manualne (papier) i ostrzegał o wolniejszej rejestracji.
  • Część doniesień sugeruje komponent ransomware, ale w pierwszych komunikatach podkreślano głównie „cyberatak” i trwające dochodzenie.

Kontekst / historia / powiązania

W atakach na placówki medyczne kluczowy jest „czas do degradacji opieki” (time-to-care-disruption). Nawet jeśli atakujący nie uruchomią szyfrowania, samo odcięcie systemów (lub ich prewencyjne wyłączenie przez szpital) potrafi zatrzymać:

  • planowe bloki operacyjne,
  • diagnostykę (PACS/RIS, zlecenia badań),
  • ewidencję leków i zleceń,
  • przepływ pacjentów (rejestracja, wypisy, transporty).

W AZ Monica dodatkowym czynnikiem była konieczność utrzymania bezpieczeństwa danych pacjentów i ograniczenia rozprzestrzeniania się incydentu — stąd natychmiastowa izolacja serwerów i praca w trybie awaryjnym.

Analiza techniczna / szczegóły incydentu

Co wiemy „twardo” (na bazie komunikatów i relacji)

Z dostępnych informacji wynika, że:

  1. Wykryto poważne zakłócenie w systemach IT i podjęto decyzję o wyłączeniu/odłączeniu serwerów w obu kampusach.
  2. Z powodu niedostępności systemów cyfrowych ograniczono pracę izby przyjęć/SOR i wstrzymano planowe zabiegi.
  3. Dostęp do elektronicznej dokumentacji był utrudniony, co wymusiło manualne procesy rejestracji i odroczenia części konsultacji.
  4. Część pacjentów krytycznych przetransportowano do innych szpitali (wskazywano na wsparcie Czerwonego Krzyża).

Co jest prawdopodobne (ale niepotwierdzone) z perspektywy TTP

W mediach branżowych pojawia się wątek ransomware. To jednak nie jest równoznaczne z potwierdzonym szyfrowaniem lub eksfiltracją danych. W praktyce „ransomware w szpitalu” może oznaczać co najmniej trzy różne sytuacje:

  1. Szyfrowanie + wyłączenie usług – klasyczny wariant, gdy systemy stają, a odtwarzanie zależy od kopii zapasowych.
  2. Tylko eksfiltracja i szantaż – systemy bywają chwilowo sprawne, ale ryzyko wycieku danych jest kluczowe.
  3. Intruzja bez finalnego payloadu – placówka odcina serwery prewencyjnie, zanim dojdzie do „detonacji”.

Bez IoC, informacji o rodzinie ransomware lub wektorze dostępu nie da się uczciwie przypisać incydentu do konkretnego aktora. Na tym etapie sensowniejsze jest opisanie typowych wektorów wejścia w środowiskach medycznych:

  • phishing i kradzież tożsamości (M365/IdP),
  • zdalny dostęp (VPN, RDP, bramy aplikacyjne),
  • niezałatane urządzenia brzegowe,
  • kompromitacja dostawcy IT/outsourcingu,
  • słabe segmentowanie sieci (łatwa ruch lateralny).

Praktyczne konsekwencje / ryzyko

1) Ryzyko kliniczne i operacyjne

Najbardziej „namacalny” skutek to ograniczenie opieki: odwołane operacje, przesunięte konsultacje i ograniczona przepustowość SOR-u.
Dodatkowo, gdy transporty medyczne i zespoły interwencyjne są czasowo niedostępne, rośnie obciążenie sąsiednich placówek oraz ryzyko opóźnień w leczeniu.

2) Ryzyko danych pacjentów

Nawet jeśli decyzja o odłączeniu serwerów miała charakter ochronny, sam fakt incydentu uruchamia typowe pytania:

  • czy doszło do dostępu do danych wrażliwych,
  • czy nastąpiła eksfiltracja,
  • czy atakujący uzyskali trwałą obecność (persistence),
  • czy doszło do naruszeń tożsamości (AD/Entra ID).

Wstępne komunikaty koncentrowały się na ciągłości opieki i śledztwie, bez potwierdzenia skali naruszenia danych.

3) Koszty i „dług techniczny” po incydencie

Nawet przy skutecznym odtworzeniu usług koszty rosną przez:

  • przestoje, nadgodziny i reorganizację grafików,
  • odtwarzanie środowisk i walidację integralności,
  • konieczność „resetu zaufania” (rotacja sekretów, ponowne wdrożenia),
  • audyty, forensics, komunikację kryzysową.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań, które w ochronie zdrowia zwykle dają największy efekt w pierwszych 24–72 godzinach oraz w fazie odbudowy. (To ogólne praktyki – konkret zależy od architektury i tego, co wykaże analiza śledcza).

Natychmiast (0–24h)

  • Izolacja i kontrola rozprzestrzeniania: segmentacja awaryjna, blokady egress, odcięcie niekrytycznych połączeń między strefami.
  • Utrzymanie opieki: przejście na downtime procedures (papier), priorytetyzacja świadczeń, komunikacja z pacjentami i innymi szpitalami (transfery).
  • Zabezpieczenie dowodów: obrazy dysków/VM, logi z AD/IdP, EDR, firewall, VPN, proxy; łańcuch dowodowy.
  • Kontrola tożsamości: wymuszenie resetów dla kont uprzywilejowanych, przegląd tokenów/sesji, ograniczenie kont serwisowych.

Krótki termin (24–72h)

  • Threat hunting pod scenariusz ransomware: artefakty lateral movement, narzędzia zdalne, anomalia w GPO, podejrzane zadania harmonogramu.
  • Bezpieczne odtwarzanie: odtwarzaj priorytetowo usługi kliniczne, ale dopiero po walidacji, że środowisko nie jest „toksyczne” (persistence).
  • Komunikacja i koordynacja: ujednolicone komunikaty, jedna „prawda operacyjna”, współpraca z organami ścigania.

Długofalowo (po przywróceniu usług)

W praktyce najbardziej „twarde” środki anty-ransomware to kombinacja:

  • kopii zapasowych offline/odłączonych i regularnie testowanych (w tym test odtworzenia pod presją czasu),
  • ograniczania uprawnień i separacji kont administracyjnych,
  • twardej segmentacji sieci (klinika vs biuro vs goście vs IoMT),
  • monitoringu i detekcji (EDR/XDR + logowanie krytycznych zdarzeń),
  • higieny zdalnego dostępu (MFA, ograniczenia geograficzne, ciągłe oceny ryzyka).

Wskazówki w tym duchu pojawiają się m.in. w zaleceniach NCSC dotyczących ograniczania skutków malware i ransomware (mocny nacisk na kopie offline, separację i gotowość odtworzeniową).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Warto rozróżnić trzy „klasy” incydentów, bo determinują reakcję i komunikację:

  • Atak powodujący niedostępność (availability-first) – jak w AZ Monica: nawet bez potwierdzonego wycieku, skutki kliniczne pojawiają się natychmiast.
  • Atak z eksfiltracją (confidentiality-first) – operacje czasem trwają, ale ryzyko prawne i reputacyjne rośnie (pacjenci, dane wrażliwe).
  • Atak hybrydowy (double/triple extortion) – najtrudniejszy wariant: przestój + szantaż + presja czasowa.

Z perspektywy zarządzania ryzykiem AZ Monica pokazuje, że „plan B” (praca na papierze, procedury awaryjne, scenariusz dywersji karetek i transferów) jest równie ważny jak same narzędzia cyber.

Podsumowanie / kluczowe wnioski

  • Incydent w AZ Monica to podręcznikowy przykład, że cyberatak w szpitalu w pierwszej kolejności uderza w ciągłość leczenia: odwołane operacje, ograniczony SOR, praca manualna i transfer pacjentów krytycznych.
  • Na wczesnym etapie rozsądnie jest mówić o „cyberataku” i skutkach operacyjnych, a nie przesądzać o ransomware bez twardych danych (IoC, potwierdzone szyfrowanie/eksfiltracja).
  • Największą odporność budują: kopie offline + testy odtworzenia, segmentacja, kontrola tożsamości i gotowe procedury downtime dla personelu klinicznego.

Źródła / bibliografia

  1. BleepingComputer – opis incydentu, komunikaty szpitala i skutki operacyjne. (BleepingComputer)
  2. The Record (Recorded Future News) – kontekst, transfer pacjentów, doniesienia o ransomware i skutkach w mieście. (The Record from Recorded Future)
  3. The Register – potwierdzenie ograniczeń, dywersja karetek i niedostępność wybranych usług ratunkowych. (The Register)
  4. Techzine – informacja o kontynuacji odwołań i potwierdzeniu cyberataku przez prokuraturę wg cytowanych relacji. (Techzine Global)
  5. NCSC (UK) – praktyczne wytyczne ograniczania skutków malware i ransomware (m.in. kopie offline). (NCSC)

Krytyczna luka SQL Injection w produktach Advantech (CVE-2025-52694) – co wiemy i jak się zabezpieczyć

Wprowadzenie do problemu / definicja luki

Cyber Security Agency of Singapore (CSA) opublikowała 12 stycznia 2026 alert dotyczący krytycznej podatności w wybranych produktach Advantech, oznaczonej jako CVE-2025-52694. To klasyczny scenariusz wysokiego ryzyka: SQL Injection możliwy do wykorzystania zdalnie i bez uwierzytelnienia, jeśli usługa jest wystawiona do Internetu.

W skrócie

  • CVE: CVE-2025-52694
  • Typ: SQL Injection (SQLi)
  • Skutki: możliwość wykonania dowolnych zapytań SQL przez atakującego bez logowania (gdy endpoint jest dostępny z Internetu)
  • Ocena: CVSS 3.1 = 10.0 (Critical); wektor: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Zalecenie: natychmiastowa aktualizacja do wersji naprawionych

Kontekst / historia / powiązania

W przypadku systemów z rodziny IoTSuite / IoT Edge problem jest szczególnie istotny, bo te komponenty często stoją na styku IT/OT (integracje, telemetria, panele webowe, API). CSA wskazuje, że podatność została skoordynowanie ujawniona, a odkrycie przypisano badaczowi z HCMUTE Information Security Club.

Analiza techniczna / szczegóły luki

SQL Injection oznacza, że aplikacja w pewnym miejscu buduje zapytania do bazy danych w sposób umożliwiający „wstrzyknięcie” fragmentu SQL przez dane wejściowe (np. parametr HTTP). W tym przypadku CSA/NVD opisują scenariusz, w którym:

  • atakujący nie musi być uwierzytelniony (PR:N),
  • atak jest zdalny przez sieć (AV:N) i zwykle możliwy do automatyzacji,
  • konsekwencją jest wykonanie dowolnych poleceń SQL na usłudze (o ile jest wystawiona do Internetu).

Wektor CVSS ze zmianą zasięgu (S:C) sugeruje, że skutki mogą „wychodzić” poza bezpośredni komponent (np. wpływ na inne elementy środowiska, zależnie od architektury i uprawnień DB).

Produkty i wersje podatne (wg CSA):

  • IoTSuite SaaSComposer – wersje < 3.4.15
  • IoTSuite Growth (Linux docker) – wersje < V2.0.2
  • IoTSuite Starter (Linux docker) – wersje < V2.0.2
  • IoT Edge (Linux docker) – wersje < V2.0.2
  • IoT Edge (Windows) – wersje < V2.0.2

Praktyczne konsekwencje / ryzyko

W praktyce SQLi w komponentach webowych / API może prowadzić m.in. do:

  • wycieku danych z bazy (telemetria, konfiguracje, dane operacyjne),
  • manipulacji danymi (fałszowanie odczytów, zmiana konfiguracji, sabotaż procesów),
  • eskalacji wpływu: w niektórych wdrożeniach SQLi bywa krokiem do przejęcia kont aplikacyjnych lub dalszego ruchu lateralnego (zależy od uprawnień konta DB i architektury).

Największe ryzyko pojawia się wtedy, gdy:

  • panel/usługa jest wystawiona bezpośrednio do Internetu,
  • brak jest segmentacji sieci i kontroli dostępu,
  • środowisko jest „płaskie” (łatwy pivot do innych systemów).

Rekomendacje operacyjne / co zrobić teraz

Priorytet: patch management + ograniczenie ekspozycji.

  1. Zidentyfikuj ekspozycję
  • Sprawdź, czy instancje IoTSuite/IoT Edge są dostępne z Internetu (DNS, reverse proxy, publiczne IP, reguły firewall/WAF).
  • Zweryfikuj, które wersje są uruchomione (porównaj z progami podatności powyżej).
  1. Zastosuj poprawki
  • CSA zaleca natychmiastową aktualizację do wersji naprawionych.
  • Dla IoTSuite SaaSComposer, IoTSuite Growth (Linux docker) i IoT Edge (Windows) CSA wskazuje konieczność kontaktu z Advantech w celu uzyskania oficjalnej wersji naprawionej.
  • Dla IoTSuite Starter (Linux docker) oraz IoT Edge (Linux docker) CSA kieruje do stron pobrania aktualizacji (mogą wymagać dostępu/portalu).
  1. Mitigacje „na już” (jeśli patch nie jest natychmiast możliwy)
  • Wycofaj usługę z Internetu: VPN/ZTNA + allowlist, dostęp tylko z sieci administracyjnej.
  • Włącz/zaostrz reguły WAF pod kątem SQLi (to nie zastąpi patcha, ale może kupić czas).
  • Ogranicz uprawnienia konta bazy danych używanego przez aplikację (zasada najmniejszych uprawnień).
  • Monitoruj logi aplikacji/proxy/WAF pod kątem anomalii w parametrach żądań i błędów DB (wzrost 4xx/5xx, charakterystyczne payloady SQLi).
  1. Detekcja i reakcja
  • Jeśli system był wystawiony do Internetu: potraktuj jako potencjalnie narażony, rozważ przegląd logów i artefaktów (zapytania, nietypowe konta, zmiany konfiguracji, dumpy tabel).
  • W środowiskach OT: skoordynuj działania z utrzymaniem ruchu, aby aktualizacja nie wpłynęła na ciągłość procesów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu do wielu podatności wymagających logowania lub interakcji użytkownika, ten przypadek ma „zły zestaw cech”:

  • brak uwierzytelnienia i zdalna osiągalność,
  • wysoka przewidywalność wektora ataku (SQLi bywa łatwe do skanowania i automatyzacji),
  • potencjalnie wysoki wpływ w środowiskach przemysłowych, gdzie dane i konfiguracje mają bezpośrednie przełożenie na operacje.

Podsumowanie / kluczowe wnioski

  • CVE-2025-52694 to krytyczna podatność typu SQL Injection w wybranych produktach Advantech, z oceną CVSS 10.0.
  • Największe ryzyko dotyczy instalacji wystawionych do Internetu.
  • Działanie rekomendowane: pilny patch oraz równolegle ograniczenie ekspozycji i wzmocnienie kontroli dostępu.

Źródła / bibliografia

  1. Alert CSA Singapore: „Critical Vulnerability in Advantech Products” (12 stycznia 2026). (Cyber Security Agency of Singapore)
  2. NVD (NIST): rekord CVE-2025-52694 (opis + wektor CVSS od CSA). (NVD)

Nowa chińsko-powiązana grupa UAT-7290 atakuje operatorów telekomunikacyjnych przez exploity na urządzenia brzegowe (edge) i buduje sieć ORB

Wprowadzenie do problemu / definicja luki

Telekomy (oraz dostawcy usług sieciowych) są dziś jednym z najbardziej atrakcyjnych celów dla aktorów APT: dostęp do infrastruktury szkieletowej i węzłów brzegowych daje możliwość długotrwałej obserwacji ruchu, pivotowania do sieci klientów i budowania „strategicznej” przewagi wywiadowczej.

Najświeższy przykład to ujawniona przez Cisco Talos aktywność klastra śledzonego jako UAT-7290: grupa ma wykorzystywać publicznie dostępne exploity (tzw. one-day) na urządzenia brzegowe oraz specyficzny dla celu brute force po SSH, by uzyskać dostęp początkowy i eskalować uprawnienia. Następnie wdraża linuksowe implanty oraz tworzy infrastrukturę Operational Relay Box (ORB) wykorzystywaną także przez inne chińsko-powiązane podmioty.

W skrócie

  • Kto? UAT-7290 – aktor o silnych wskaźnikach „China-nexus”, aktywny co najmniej od 2022 r.
  • Kogo atakuje? Głównie operatorów telekomunikacyjnych w Azji Południowej, a w ostatnich miesiącach także organizacje w Europie Południowo-Wschodniej.
  • Jak wchodzi? One-day exploity na popularne edge urządzenia + targetowany brute force SSH.
  • Co instaluje? Linuxowy łańcuch: RushDrop → DriveSwitch → SilentRaid oraz implant ORB Bulbature.
  • Po co ORB? Do ukrywania operatorów i „przekaźnikowania” operacji (także przez inne grupy).

Kontekst / historia / powiązania

Talos ocenia z wysoką pewnością, że UAT-7290 wpisuje się w chińską „rodzinę” APT i prowadzi działania o profilu cyber-wywiadowczym. Wskazywane są też nakładki TTP i infrastruktury z innymi znanymi bytami: m.in. artefakty kojarzone z RedLeaves (łączonym z APT10) i ShadowPad, a także podobieństwa do grupy opisywanej publicznie jako Red Foxtrot.

Ważny element układanki to ORB. Niezależnie od Talos, Sekoia opisywała już wcześniej ekosystem kompromitowanych urządzeń brzegowych, które po infekcji stają się Operational Relay Boxes – w praktyce „węzłami pośredniczącymi” dla dalszych ataków i tunelowania działań.

Analiza techniczna / szczegóły luki

1) Wejście: exploity na edge + brute force SSH

UAT-7290 ma stawiać na „pragmatykę”:

  • wykorzystywanie publicznych PoC dla znanych podatności w produktach brzegowych (one-day),
  • brute force SSH dopasowany do konkretnej ofiary (a nie masowy „spray”).

To model coraz częstszy w ekosystemie APT: urządzenia brzegowe (VPN, firewall, router, appliance) bywają słabiej monitorowane niż serwery, a ich kompromitacja daje świetny punkt do utrzymania dostępu.

2) Łańcuch malware (Linux): RushDrop → DriveSwitch → SilentRaid

RushDrop (alias ChronosRAT) działa jako dropper: wykonuje proste testy anty-VM, tworzy/wykorzystuje katalog “.pkgdb” i rozpakowuje komponenty, m.in. legalnego busybox, który następnie bywa nadużywany do wykonywania poleceń.

DriveSwitch jest komponentem „pomocniczym”, którego głównym zadaniem jest uruchomienie właściwego implantu.

SilentRaid (alias MystRodX) to zasadniczy implant utrzymujący dostęp – w Talos opisywany jako C++ backdoor z architekturą plugin-like, umożliwiający m.in. zdalną powłokę, operacje na plikach i port-forwarding. Zwraca uwagę detal operacyjny: rozwiązywanie domen C2 przez publiczny resolver 8.8.8.8.

3) Bulbature i ORB: „urządzenie brzegowe jako przekaźnik”

Talos wskazuje również na Bulbature – implant używany do przekształcania przejętych urządzeń w ORB (węzły przekaźnikowe). Malware przechowuje konfigurację C2 w plikach w /tmp (np. z rozszerzeniem *.cfg), potrafi rotować adresy C2 i zestawiać reverse shell.

Sekoia opisywała ORB jako część większej architektury: staging serwery + skrypty + malware, które finalnie robi z edge urządzeń „proxy-tunele” do ukrywania działań operatorów.

Praktyczne konsekwencje / ryzyko

Dla operatorów i firm zależnych od telco-infrastruktury to ryzyko w kilku wymiarach:

  • Długotrwała obecność w sieci (persistence) – edge urządzenia są idealne do „cichego” utrzymania dostępu, często poza standardowym EDR.
  • Pivot do systemów wewnętrznych (ruch „od brzegu do środka”), a w skrajnych scenariuszach także do środowisk klientów przez zaufane połączenia.
  • Zbieranie danych i ułatwienie operacji innym aktorom – rola UAT-7290 jako budowniczego ORB sugeruje, że kompromitacja może „żyć dalej”, nawet gdy pierwotny intruz zmieni priorytety.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „tu i teraz”, ukierunkowany na typowy łańcuch edge-compromise → implant → ORB.

1) Zbijanie powierzchni ataku na edge

  • Wyłącz ekspozycję paneli administracyjnych do Internetu (jeśli możliwe), ogranicz do VPN/management VLAN.
  • Wymuś MFA tam, gdzie to realne (zwłaszcza na VPN/SSO).
  • Zablokuj logowanie hasłem po SSH (preferuj klucze, ogranicz źródła, rate-limit, lockout).
  • Priorytetyzuj patching podatności na urządzeniach brzegowych – rządowe advisory pokazują, że aktorzy PRC rutynowo „jadą” na publicznych CVE na brzegu.

2) Hunting po artefaktach i zachowaniu

  • Szukaj nietypowych katalogów/plików: “.pkgdb”, a także podejrzanych plików konfiguracyjnych w /tmp (np. *.cfg) powiązanych z procesami nasłuchującymi na niestandardowych portach.
  • Monitoruj ruch DNS/egress z urządzeń brzegowych: nietypowe odpytywanie z appliance do 8.8.8.8 (jeśli normalnie nie powinno go być) może być poszlaką.
  • Anomalie typu: port-forwarding, tworzenie archiwów tar, odczyty /etc/passwd z kontekstu procesów, które nie mają uzasadnienia operacyjnego.

3) Detekcja sieci ORB / proxy-tunneling

  • Ustal baseline dla wychodzących połączeń TLS z edge urządzeń i odchyleń (np. nowe cele, stałe kanały utrzymujące sesję).
  • Szukaj sygnałów „proxy provider / tunnel” (Sekoia pokazywała, że ORB bywają zarządzane jak usługa tunelowania).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

UAT-7290 wpisuje się w szerszy trend działań chińsko-powiązanych, gdzie:

  • edge urządzenia (backbone/PE/CE, firewalle, VPN, routery) są priorytetowym wektorem wejścia i miejscem utrzymywania dostępu,
  • kompromitacja bywa wykorzystywana do pivotowania i „zasilania” systemów wywiadowczych (zbieranie danych o komunikacji i przemieszczaniu się celów).

To zbieżne z tym, co rządowe agencje opisywały jako aktywność częściowo nakładającą się na klastry znane komercyjnie m.in. jako Salt Typhoon (i inne). Różnica praktyczna: Talos mocno akcentuje rolę UAT-7290 jako initial access + ORB builder, co może oznaczać „łańcuch dostaw dostępu” dla kolejnych operatorów.

Podsumowanie / kluczowe wnioski

  • UAT-7290 to nowo opisana (publicznie) aktywność China-nexus wymierzona w telekomy, z ekspansją na Europę Południowo-Wschodnią.
  • Technicznie grupa gra klasykiem, który nadal działa: one-day exploity na edge + brute force SSH, a potem linuksowy implant o architekturze modułowej.
  • Największa „waga” ryzyka wynika z ORB: przejęte edge urządzenia mogą stać się trwałą infrastrukturą przekaźnikową dla dalszych operacji.
  • Obrona powinna zacząć się od edge: patching, ograniczenie ekspozycji, twarde SSH, monitoring egress/DNS i hunting po artefaktach.

Źródła / bibliografia

  1. Cisco Talos – analiza UAT-7290 (RushDrop/DriveSwitch/SilentRaid, ORB). (Cisco Talos Blog)
  2. BleepingComputer – omówienie raportu Talos i podsumowanie arsenalu. (BleepingComputer)
  3. The Hacker News – streszczenie + kontekst (MystRodX, Bulbature, overlap). (The Hacker News)
  4. Sekoia.io – Bulbature/ORB jako model operacyjny na kompromitowanych edge urządzeniach. (Sekoia.io Blog)
  5. Joint Cybersecurity Advisory (IC3.gov) – kontekst działań PRC na routerach/edge i wykorzystywaniu publicznych CVE.

Eksploit na „ESXicape”: dlaczego to, że powstał ponad rok przed ujawnieniem, powinno martwić każdego admina VMware

Wprowadzenie do problemu / definicja luki

W marcu 2025 r. VMware (Broadcom) opublikował poprawki na trzy podatności w ESXi/Workstation/Fusion (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226), które były wykorzystywane „in the wild”.

W styczniu 2026 r. analiza incydentu opisana przez Huntress dorzuciła bardzo niepokojący szczegół: narzędzia użyte do ucieczki z maszyny wirtualnej (VM escape) wyglądały na przygotowane ponad rok przed publicznym ujawnieniem tych CVE (na podstawie ścieżek PDB i znaczników czasowych w binariach).

Mówimy więc nie tylko o „kolejnych CVE”, ale o praktycznym scenariuszu: atakujący, po zdobyciu dostępu do jednej VM z uprawnieniami admina, potrafi przejść na poziom hypervisora ESXi i zagrozić wszystkim workloadom na hoście.

W skrócie

  • Podatności: CVE-2025-22224 (TOCTOU/OOB write), CVE-2025-22225 (arbitrary write → escape do kernela), CVE-2025-22226 (OOB read → leak).
  • Warunek: atak wymaga lokalnych uprawnień administracyjnych w VM (czyli najpierw trzeba skompromitować środowisko).
  • Huntress: w obserwowanym łańcuchu wejście miało nastąpić przez skompro-mitowany SonicWall VPN, potem nadużycie konta Domain Admin i dopiero wdrożenie toolkitu do ucieczki z VM.
  • Największy „red flag”: komponenty toolkitu wskazywały na prace rozwojowe co najmniej od listopada 2023 i „deliverable” z lutego 2024.

Kontekst / historia / powiązania

Oficjalne advisory Broadcom (VMSA-2025-0004) jasno mówi, że VMware ma informacje sugerujące aktywną eksploatację wszystkich trzech CVE oraz że nie ma obejść (workarounds) — kluczowe są aktualizacje do wersji naprawionych.

Co istotne, rządowe instytucje ostrzegawcze też potraktowały temat poważnie — np. kanadyjskie Cyber Centre wprost wskazało, że „exploit exists in the wild” dla tej trójki CVE.

Z perspektywy obrony oznacza to jedno: nawet jeśli te luki nie są zdalnym RCE „z internetu”, to w realnych kampaniach są używane jako eskalacja na poziom hypervisora po wcześniejszym przełamaniu perymetru.

Analiza techniczna / szczegóły luki

1) Co dokładnie łata VMSA-2025-0004?

Broadcom opisuje:

  • CVE-2025-22224: TOCTOU prowadzące do out-of-bounds write (krytyczne; maks. CVSS 9.3).
  • CVE-2025-22225: arbitrary write w ESXi; zapis w jądrze przez VMX prowadzący do escape z sandboxa.
  • CVE-2025-22226: out-of-bounds read w HGFS skutkujące wyciekiem pamięci z procesu VMX.

NVD podkreśla kluczowy element modelu ataku dla CVE-2025-22224: wykonanie kodu jako proces VMX na hoście, przy założeniu lokalnych uprawnień admina w VM.

2) Jak wyglądał łańcuch ataku według Huntress?

Huntress opisał wieloetapową operację, w której:

  • atakujący wdraża narzędzia na Windowsowej VM,
  • używa komponentów do obejścia/wyłączenia wybranych mechanizmów (m.in. techniki związane z ładowaniem sterowników),
  • uruchamia „orchestrator” (opisywany jako MAESTRO) do VM escape,
  • a następnie instaluje backdoora na ESXi komunikującego się przez VSOCK (Virtual Sockets), z nasłuchem na porcie 10000 i kanałem trudnym do obserwacji przez klasyczne narzędzia sieciowe.

To ostatnie jest szczególnie ważne operacyjnie: VSOCK omija typowe punkty kontroli (firewall/IDS w sieci), więc detekcja przesuwa się z „patrzmy na pakiety” na „patrzmy na procesy i sockety na hoście ESXi”. Huntress sugeruje m.in. obserwację nietypowych procesów i użycie poleceń typu lsof -a na hostach ESXi do wypatrywania śladów VMCI/VSOCK.

3) Skąd wniosek o „ponad rok przed ujawnieniem”?

Tu nie chodzi o spekulację „ktoś mógł mieć 0-day”, tylko o artefakty w binariach:

  • ścieżki PDB i nazewnictwo katalogów sugerujące „deliverable” dla „all version escape” oraz datę luty 2024,
  • komponent VSOCK związany z pracami z listopada 2023.

W praktyce oznacza to, że exploit (albo przynajmniej platforma eksploatacyjna + post-exploitation) mógł być gotowy, zanim vendor opublikował advisory.

Praktyczne konsekwencje / ryzyko

  1. „VM isolation is not absolute” przestaje być hasłem z prezentacji, a staje się realnym scenariuszem incydentu: kompromitacja jednej VM może przełożyć się na przejęcie hosta ESXi i wszystkich maszyn na nim.
  2. Atak nie musi zaczynać się „od VMware”. W opisywanym przypadku wejście miało być przez urządzenie VPN, a VMware było „drugim krokiem” do osiągnięcia dominacji w środowisku wirtualizacji.
  3. Ryzyko rośnie, gdy:
  • trzymasz wiele krytycznych workloadów na jednym hoście (duży „blast radius”),
  • masz słabą separację ról (admin VM ≈ admin wszystkiego),
  • używasz end-of-life wersji ESXi — Huntress zwraca uwagę, że toolkit obejmował bardzo szeroki przekrój buildów, a EOL oznacza brak poprawek.

Rekomendacje operacyjne / co zrobić teraz

Priorytet 1: poprawki i inwentaryzacja

  • Zweryfikuj podatność względem VMSA-2025-0004 i wgraj wersje naprawione wskazane w „Response Matrix” (dla ESXi/Workstation/Fusion/Cloud Foundation/Telco).
  • Jeśli masz ESXi w wersjach EOL: potraktuj to jako ryzyko nieakceptowalne (brak fixów) i planuj migrację/upgrade.

Priorytet 2: zmniejsz szanse na „local admin w VM”

Ponieważ warunkiem jest admin w VM, w praktyce bronisz się tak samo jak przed ransomware:

  • MFA i hardening na VPN/edge, szybkie łatanie urządzeń brzegowych,
  • redukcja uprawnień Domain Admin, segmentacja, ograniczenie RDP/WinRM,
  • monitorowanie nietypowych zmian zasad zapory w VM i prób „odcięcia” ruchu na zewnątrz (w opisywanym ataku modyfikowano firewall).

Priorytet 3: detekcja na ESXi (nie tylko w sieci)

  • Włącz i centralizuj logi ESXi, monitoruj procesy i nietypowe binaria na datastore.
  • Uwzględnij w playbookach, że kanały typu VSOCK mogą być niewidoczne dla klasycznych sensorów NDR — potrzebujesz telemetrii hostowej.

Różnice / porównania z innymi przypadkami

  • W przeciwieństwie do typowych podatności „remote RCE w vCenter/ESXi”, tutaj punkt ciężkości to escape z gościa do hosta: nie wystarczy „patchuj wystawione na internet”, bo atak może przyjść z wnętrza (po phishingu/VPN/AD).
  • To także przykład, że informacja „exploited in the wild” w advisory bez detali (co często się zdarza) może oznaczać znacznie więcej niż skanowanie — Huntress pokazał dopracowany łańcuch i zaplecze narzędziowe.

Podsumowanie / kluczowe wnioski

  • CVE-2025-22224/22225/22226 to nie „kolejne CVE do backlogu”, tylko zestaw luk, które umożliwiają realny VM escape i przejęcie hypervisora w scenariuszu po naruszeniu perymetru.
  • Najbardziej niepokojący sygnał z analizy Huntress: exploit/toolkit mógł istnieć jako 0-day ponad rok przed publicznym ujawnieniem.
  • Obrona wymaga dwóch równoległych działań: agresywnego patchowania ESXi oraz ograniczania prawdopodobieństwa, że atakujący kiedykolwiek uzyska „admin w VM” (VPN/AD/endpoint).

Źródła / bibliografia

Trend Micro łata krytyczną lukę RCE w Apex Central (CVE-2025-69258) – pilna aktualizacja do Build 7190

Wprowadzenie do problemu / definicja luki

Trend Micro wydało krytyczną poprawkę dla Apex Central (on-premise) na Windows, usuwając podatność umożliwiającą zdalne wykonanie kodu (RCE) bez uwierzytelnieniaCVE-2025-69258. To szczególnie istotne, bo Apex Central jest centralną konsolą zarządzania (m.in. konfiguracją, dystrybucją polityk i aktualizacji) dla innych komponentów bezpieczeństwa Trend Micro, więc kompromitacja serwera zarządzającego często oznacza “dźwignię” do przejęcia większej części środowiska.

W skrócie

  • CVE-2025-69258: krytyczne RCE związane z mechanizmem LoadLibraryEx, pozwalające atakującemu załadować kontrolowaną DLL do kluczowego procesu i uruchomić kod z uprawnieniami SYSTEM.
  • Podatność jest pre-auth (brak wymaganego logowania) i ma CVSS 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
  • Poprawka: Critical Patch Build 7190 (i nowsze). Dotyczy instalacji poniżej Build 7190.
  • Wraz z RCE załatano też dwie luki DoS: CVE-2025-69259 i CVE-2025-69260 (obie CVSS 7.5, również możliwe bez uwierzytelnienia).
  • Tenable opublikowało szczegóły techniczne (oraz kontekst podatności), co zwykle zwiększa ryzyko szybkiego pojawienia się prób masowego skanowania i ataków na wystawione instancje.

Kontekst / historia / powiązania

Według informacji producenta, biuletyn bezpieczeństwa dla tej paczki poprawek został zaktualizowany 7 stycznia 2026, a sam wpis CVE w NVD pojawił się 8 stycznia 2026.
Tenable (jako podmiot, któremu Trend Micro dziękuje w biuletynie) przedstawiło też oś czasu odpowiedzialnego ujawnienia – ważne z perspektywy oceny dojrzałości procesu disclosure oraz tego, kiedy informacje techniczne mogły stać się szerzej dostępne.

Analiza techniczna / szczegóły luki

Na czym polega CVE-2025-69258?

W uproszczeniu: podatność dotyczy sytuacji, w której zdalny atakujący może doprowadzić do załadowania kontrolowanej biblioteki DLL do jednego z kluczowych komponentów Apex Central, a w konsekwencji do wykonania kodu w kontekście SYSTEM. Mechanizm jest powiązany z wykorzystaniem LoadLibraryEx.

Gdzie “siedzi” wektor ataku?

Z doniesień branżowych wynika, że istotną rolę odgrywa proces MsgReceiver.exe, który w typowej konfiguracji nasłuchuje na TCP/20001. To istotny szczegół z perspektywy obrony, bo w praktyce wiele organizacji nieświadomie wystawia usługi pomocnicze/agentskie albo pozostawia zbyt szerokie reguły między segmentami.

Co jeszcze załatano w Build 7190?

Trend Micro wskazuje, że Build 7190 usuwa również dwie podatności typu denial of service (CVE-2025-69259 oraz CVE-2025-69260), które także mogą być wyzwalane bez uwierzytelnienia. Choć DoS bywa postrzegany jako “mniej groźny” niż RCE, w systemach zarządzających bezpieczeństwem może prowadzić do realnych przestojów operacyjnych (np. brak dystrybucji polityk/aktualizacji, utrata telemetrii).

Praktyczne konsekwencje / ryzyko

  1. Pełne przejęcie serwera zarządzającego
    RCE wykonywane jako SYSTEM oznacza potencjalnie natychmiastowy “admin-level” na hoście Apex Central, a dalej możliwość kradzieży poświadczeń, lateral movement i manipulacji konfiguracją narzędzi ochronnych.
  2. Wysokie ryzyko dla instancji wystawionych (nawet pośrednio)
    Jeśli port/usługa związana z MsgReceiver.exe jest osiągalna z sieci mniej zaufanych (WAN, DMZ, szerokie VLAN-y, partnerzy), rośnie prawdopodobieństwo ataku “z marszu” – zwłaszcza po publikacji analiz technicznych.
  3. Ryzyko wtórne: sabotaż i “wyłączenie ochrony”
    Kompromitacja konsoli zarządzającej bywa wykorzystywana do: wyłączenia modułów ochronnych, dodania wyjątków, zmiany polityk, a nawet dystrybucji złośliwych artefaktów “zaufanym kanałem” w dół do endpointów (w zależności od architektury i uprawnień integracji).
  4. Sygnały ostrzegawcze dla SOC
    Nawet bez pełnych IOC warto traktować nietypowe: połączenia do TCP/20001, anomalie w zachowaniu procesu MsgReceiver.exe, nietypowe ładowanie DLL, oraz podejrzane połączenia SMB/UNC jako sygnały do triage (szczególnie w oknie tuż po ujawnieniu i publikacji szczegółów).

Rekomendacje operacyjne / co zrobić teraz

Poniżej “checklista”, która jest realistyczna dla zespołów IT/SecOps i pomaga szybko obniżyć ryzyko.

1) Patch management – absolutny priorytet

  • Zaktualizuj Apex Central (on-premise) do Critical Patch Build 7190 lub nowszego.
  • Zweryfikuj wersję po aktualizacji (nie tylko “zainstalowano paczkę”, ale faktyczny build).
  • Jeżeli masz środowiska rozproszone (oddziały/regiony), wymuś kontrolę zgodności (compliance) – ta luka jest wystarczająco poważna, by traktować ją jako “change emergency”.

2) Ogranicz ekspozycję sieciową (szczególnie TCP/20001)

  • Zablokuj dostęp do TCP/20001 z sieci nieadministracyjnych, a najlepiej ogranicz do ściśle wyznaczonych segmentów/hostów (allow-list).
  • Jeśli to możliwe: dostęp administracyjny wyłącznie przez VPN + MFA, z jump hostów (PAW/SAW).

3) Hardening i segmentacja “konsoli zarządzającej”

  • Traktuj serwer Apex Central jak Tier-0 (analogicznie do kontrolerów domeny): osobny segment, minimalne reguły, ograniczony ruch wychodzący.
  • Zredukuj możliwość inicjowania połączeń SMB/UNC do nieznanych zasobów (w praktyce: ograniczenia egress, kontrola DNS, reguły firewall).

4) Monitoring / detekcja (SIR / SOC)

  • Dodaj w SIEM reguły na: nietypowe połączenia do hosta Apex Central (zwłaszcza do usług pomocniczych), nagłe restarty usług, błędy aplikacyjne, oraz anomalie w ładowaniu modułów przez procesy Apex Central.
  • Ustal punkt odniesienia (baseline) dla ruchu sieciowego serwera Apex Central i wykrywaj odchylenia.

5) Przygotuj plan reagowania

  • Jeśli konsola była wystawiona szerzej niż powinna: rozważ szybki przegląd potencjalnych oznak kompromitacji (konto SYSTEM, nowe usługi, scheduled tasks, podejrzane binaria, nietypowe połączenia wychodzące).
  • W razie podejrzeń: izolacja hosta, zrzuty pamięci/logów, i standardowy IR playbook.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Konsola zarządzająca ≠ zwykły serwer aplikacyjny: podatności w systemach klasy “central management” mają zwykle większy blast radius, bo konsola ma uprawnienia do zarządzania agentami, politykami i aktualizacjami.
  • Pre-auth + wysoki kontekst uprawnień (SYSTEM) to jeden z najbardziej niebezpiecznych duetów: nie wymaga kradzieży poświadczeń, a efekt końcowy bywa równoważny pełnemu przejęciu hosta.
  • Publikacja szczegółów technicznych przez zewnętrzny zespół badawczy (tu: Tenable) często powoduje “drugą falę ryzyka”: nawet jeśli wcześniej nie było informacji o aktywnym wykorzystaniu, to po ujawnieniu rośnie aktywność skanerów i oportunistycznych ataków.

Podsumowanie / kluczowe wnioski

  • CVE-2025-69258 to krytyczna podatność RCE w Trend Micro Apex Central (on-premise) na Windows, z możliwością wykonania kodu jako SYSTEM i bez logowania.
  • Aktualizacja do Build 7190 (lub nowszego) jest działaniem “na już” – zwłaszcza jeśli serwer ma szeroką łączność sieciową.
  • W pakiecie są też dwie podatności DoS, również pre-auth, co dodatkowo wzmacnia argument za szybką aktualizacją.
  • Oprócz patchowania, realną redukcję ryzyka daje segmentacja, ograniczenie ekspozycji usług i monitoring anomalii na serwerze konsoli.

Źródła / bibliografia

  1. Trend Micro – CRITICAL SECURITY BULLETIN: Apex Central (on-premise) January 2026 Multiple Vulnerabilities (KA-0022071)
  2. NIST NVD – CVE-2025-69258 (Źródło)
  3. Tenable Research Advisory – TRA-2026-01 (Apex Central Multiple Vulnerabilities)
  4. BleepingComputer – Trend Micro fixes critical RCE flaw in Apex Central console
  5. Help Net Security – PoC released for unauthenticated RCE in Trend Micro Apex Central (CVE-2025-69258)

„Łamałem Ludzi, A Nie Hasła” – Czy Kevin Mitnick Mógłby Dziś Działać Tak Samo?

Mit „hakera” zostawmy na boku. Tu chodzi o procesy

Kevin Mitnick – legendarny haker, który powtarzał „Łamałem ludzi, a nie hasła” – udowodnił, że najskuteczniejszym wektorem ataku jest czynnik ludzki. Ponad dwie dekady temu Mitnick z powodzeniem wykorzystywał socjotechnikę, manipulując ludźmi do ujawniania tajemnic firm i haseł dostępu. Dziś, mimo rozwoju technologii obronnych, zasada ta pozostaje aktualna: najsłabszym ogniwem w bezpieczeństwie wciąż bywa człowiek.

Czytaj dalej „„Łamałem Ludzi, A Nie Hasła” – Czy Kevin Mitnick Mógłby Dziś Działać Tak Samo?”