Archiwa: Linux - Strona 30 z 42

CVE-2019-11580 — Atlassian Crowd/Crowd Data Center RCE przez pdkinstall

TL;DR

Krytyczna luka w Atlassian Crowd i Crowd Data Center umożliwiała (bez uwierzytelnienia) przesłanie i zainstalowanie arbitralnego pluginu przez endpoint administracyjny — w efekcie zdalne wykonanie kodu (RCE). Wpływ: pełne przejęcie hosta aplikacyjnego/Tomcata, często zakończone doinstalowaniem webshella i dalszą penetracją sieci. Naprawa: aktualizacja do wersji 3.0.5/3.1.6/3.2.8/3.3.5/3.4.4 lub nowszej; doraźnie usunięcie paczki pdkinstall-plugin. Detekcja: szukaj żądań do /crowd/admin/uploadplugin.action oraz anomalii „java → sh/cmd” na hoście.

Krótka definicja techniczna

CVE‑2019‑11580 wynika z błędnie pozostawionego w buildach produkcyjnych pluginu developerskiego pdkinstall, który pozwalał (także bez autoryzacji) na upload i instalację komponentów OSGi/JAR. Umożliwia to instalację złośliwego pluginu i wykonanie kodu w kontekście procesu aplikacyjnego (Tomcat/Java), co skutkuje RCE.

Gdzie występuje / przykładowe platformy

Systemy: Linux/Unix (typowo), Windows (usługa Crowd/Tomcat).
Środowiska: bare metal, VM (ESXi/Hyper‑V), kontenery/K8s (Crowd w kontenerze lub jako Helm chart), reverse proxy (NGINX/Apache), WAF.
Chmury: AWS (EC2 + ALB/WAF), Azure (VM + App Gateway/WAF), GCP (Compute Engine + HTTP(S) LB).
Tożsamość: Crowd integruje się z AD/LDAP/Azure AD/M365, ale sama luka dotyczy Crowd, nie tych usług.

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

Przyczyna: w buildach Crowd błędnie włączono pdkinstall development plugin. Pozwalał on na instalację pluginów również na instancjach produkcyjnych.
Wektor: żądanie HTTP do endpointu administracyjnego odpowiedzialnego za upload pluginów (np. ścieżka zawierająca /crowd/admin/uploadplugin.action). Po stronie serwera plugin jest ładowany i wykonywany w kontekście aplikacji.
Skutki: wykonanie dowolnego kodu (Java/serwlety), możliwość dropu webshella, ruchu bocznego, kradzieży poświadczeń i pivotu. W praktyce technika była powszechnie wykorzystywana do instalacji webshelli.
Zasięg wersji: dotyczy wersji 2.1.0 ≤ v < 3.0.5, 3.1.0 ≤ v < 3.1.6, 3.2.0 ≤ v < 3.2.8, 3.3.0 ≤ v < 3.3.5, 3.4.0 ≤ v < 3.4.4; naprawione w 3.0.5 / 3.1.6 / 3.2.8 / 3.3.5 / 3.4.4. CVSS v3.1: 9.8 (CRITICAL).

Artefakty i logi (SOC „punkty zaczepienia”)

Źródło	EID / typ	Co obserwować	Przykłady / uwagi
Web access (NGINX/Apache/ALB/WAF)	HTTP access	Żądania do `/crowd/admin/uploadplugin.action`, metody POST/PUT, wzrost 4xx/5xx przed sukcesem	Endpoint potwierdzony w analizach; logi WAF/ALB/AGW zawierają URI/metodę.
Aplikacja Crowd (`atlassian-crowd.log`)	log4j	Wpisy dot. instalacji/ładowania pluginów, błędów UPM, wyjątków OSGi	Lokalizacja/konfiguracja logów Crowd.
Tomcat (`catalina.out`)	log	Niespodziewane błędy serwletów/przeładowanie klas tuż po podejrzanym żądaniu	Crowd loguje zarówno do własnego logu, jak i Tomcata.
Windows	4688 (Process Create), 7045 (Service Install), Sysmon 1/3/11	`ParentImage=java.exe` uruchamia `cmd.exe/powershell.exe`, sieć wychodząca, tworzenie JAR w katalogach pluginów	Korelować z czasem żądań HTTP
Linux	auditd `EXECVE` / EDR	`PPID=java` uruchamia `/bin/sh`, `curl/wget`, „reverse shell” artefakty
K8s (jeśli Crowd w K8s)	Ingress/Nginx access	URI jak wyżej; wzrost 5xx; nietypowe źródła
AWS	WAF/ALB logs (CloudWatch/S3)	`httpRequest.uri` zawiera ścieżkę; metoda POST	CloudWatch Logs Insights/Athena do analizy
Azure	App Gateway/WAF	`requestUri_s` zawiera ścieżkę; `httpMethod_s` = POST	Dane w `AzureDiagnostics`
M365	—	nie dotyczy bezpośrednio	Crowd integruje się z M365/IdP, ale luka jest po stronie Crowd
CloudTrail	—	nie dotyczy (aplikacyjny HTTP, nie API AWS)	Traktuj CloudTrail pobocznie (zmiany infra)

Detekcja (praktyczne reguły)

Sigma (webserver → próby uploadu pluginu)

title: Atlassian Crowd CVE-2019-11580 - Podejrzany upload pluginu
id: 4c8f5ee1-7f6a-4a7c-9b8e-cc9a2cfe9e9a
status: experimental
description: Wykrywa żądania do endpointu uploadu pluginów Crowd często nadużywanego w CVE-2019-11580.
references:
  - https://confluence.atlassian.com/crowd/crowd-security-advisory-2019-05-22-970260700.html
  - https://nvd.nist.gov/vuln/detail/CVE-2019-11580
  - https://www.rapid7.com/db/modules/exploit/multi/http/atlassian_crowd_pdkinstall_plugin_upload_rce/
logsource:
  category: webserver
detection:
  sel_path:
    url|contains: '/crowd/admin/uploadplugin.action'
    cs-uri-stem|contains: '/crowd/admin/uploadplugin.action'
  sel_method:
    http_method|contains:
      - POST
      - PUT
    cs-method|contains:
      - POST
      - PUT
  condition: sel_path and sel_method
fields:
  - src_ip
  - url
  - http_user_agent
  - http_referer
  - status
falsepositives:
  - Legalna instalacja/aktualizacja pluginu przez admina (okno serwisowe)
level: high
tags:
  - attack.T1190
  - cve.2019-11580

(endpoint/metoda potwierdzone w źródłach)

Splunk (SPL) — logi www

index=web (sourcetype=access_combined OR sourcetype=aws:alb:accesslogs OR sourcetype=nginx:ingress)
| eval uri=coalesce(cs_uri_stem, uri_path, request, uri)
| eval method=coalesce(cs_method, method, http_method)
| search uri="/crowd/admin/uploadplugin.action" method IN ("POST","PUT")
| stats count min(_time) as first max(_time) as last values(status) as http_status by src_ip, uri, method, useragent
| where count>=1

KQL (Azure) — App Gateway/WAF

AzureDiagnostics
| where Category in ("ApplicationGatewayAccessLog","ApplicationGatewayFirewallLog")
| where requestUri_s has "/crowd/admin/uploadplugin.action"
| where httpMethod_s in ("POST","PUT")
| project TimeGenerated, clientIP_s, requestUri_s, httpMethod_s, httpStatus_d, userAgent_s

AWS — CloudWatch Logs Insights (WAF/ALB)

fields @timestamp, httpRequest.clientIp, httpRequest.uri, httpRequest.httpMethod, terminatingRuleId
| filter httpRequest.uri like '/crowd/admin/uploadplugin.action'
| filter httpRequest.httpMethod in ['POST','PUT']
| sort @timestamp desc

Elastic / EQL — post‑exploitation na hoście (Java → shell)

process where event.type == "start" and
  process.parent.name : ("java","java.exe","tomcat","catalina.sh","catalina.bat") and
  process.name : ("bash","sh","cmd.exe","powershell.exe","curl","wget","nc","socat")

Heurystyki / korelacje (co łączyć)

Łańcuch czasowy: (1) żądanie do /crowd/admin/uploadplugin.action → (2) nagły 200/302 lub 5xx→200 → (3) na hoście java uruchamia sh/cmd → (4) połączenie wychodzące na nietypowe IP/port.
Integracja z WAF: wysoki odsetek 4xx/5xx na tej ścieżce + próby multipart POST od pojedynczego źródła.
FIM/baseline: nowe .jar w katalogach pluginów Crowd; nagłe zmiany w atlassian-bundled-plugins.zip.

False positives / tuning

Legalne okna administracyjne (instalacja/aktualizacja pluginów) — stosuj allowlist IP/adminów oraz korelację z change window.
Skanery podatności/Nuclei — zwykle GET/HEAD i brak dalszych artefaktów hostowych.
Reverse proxy health checks — nie używają POST/PUT na admin‑endpointach.
Tuning: ogranicz alerty do POST/PUT + 2xx/3xx i wyklucz znane sieci adminów; koreluj z host‑EDR (Java→shell).

Playbook reagowania (IR) — kroki & komendy

Kontekst tylko defensywny. Wykonuj wyłącznie w środowisku, którego jesteś administratorem.

Triage & potwierdzenie
- Sprawdź wersję Crowd (podatne pasma); jeżeli poniżej 3.4.4 (lub odpowiedni fix dla linii), traktuj jako incydent krytyczny.
- Przejrzyj WAF/ALB/NGINX: żądania do /crowd/admin/uploadplugin.action.
Izolacja
- Tymczasowo zablokuj dostęp do ścieżki na WAF/reverse proxy (rule deny URI).
- Rozważ odłączenie hosta od Internetu (zachowując dostęp IR).
Zachowanie dowodów
- Zrzut logów: web, atlassian-crowd.log, catalina.out; snapshot VM.
- Hash/backup katalogów pluginów.
Łowiectwo zagrożeń (host)
- Linux: grep -E "uploadplugin|multipart|pdkinstall" /var/log/nginx/access.log* grep -i "plugin" $CROWD_HOME/logs/atlassian-crowd.log find $CROWD_HOME -type f -name "*.jar" -mmin -4320
- Windows (PowerShell/Sysmon): filtruj EventID 1 (ParentImage=java.exe) → cmd.exe/powershell.exe.
Eradykacja
- Patch do wersji z poprawką (3.0.5/3.1.6/3.2.8/3.3.5/3.4.4 lub nowszej).
- Jeżeli patch odroczony: usuń pdkinstall-plugin z instalacji i bundla (instrukcja vendor).
- Usuń nieznane pluginy, przywróć baseline, zrestartuj usługę (kontrolując logi po starcie).
Odzyskiwanie i weryfikacja
- Testy funkcjonalne, monitorowanie podwyższone przez 7–14 dni, rotacja haseł/kluczy używanych przez Crowd (integracje AD/LDAP).
Lekcje / hardening
- WAF rule per‑URI, segmentacja DMZ, wymuszenie SSO/AdminVPN, FIM katalogów pluginów.

Przykłady z kampanii / case studies

CISA (AA21‑209A): luka była rutynowo wykorzystywana do instalacji webshelli na serwerach ofiar.
KEV: CVE‑2019‑11580 ujęty w CISA Known Exploited Vulnerabilities — zalecana pilna aktualizacja.
Detekcje rynkowe: dostawcy NDR/IDS publikowali sygnatury/artefakty dla tego CVE (m.in. opis ryzyka i łańcucha eksploatacji).

Lab (bezpieczne testy) — przykładowe komendy

Uwaga: Poniższe testy nie eksploatują luki. Służą do walidacji detekcji w kontrolowanym labie.

Generowanie śladu www (WAF/NGINX/ALB)

# symulacja niegroźnego ruchu do admin-URI (powinno zwrócić 401/403/404/405)
curl -I -X POST https://lab.example.com/crowd/admin/uploadplugin.action

Walidacja korelacji hostowej (Linux)

# kontrolowany start i szybkie zakończenie powłoki, do sprawdzenia korelacji "java -> sh"
sudo -u crowd bash -c 'true'   # wygeneruj bezpieczny event exec

FIM (plik JAR w katalogu pluginów — lab only)

# NIE w produkcji: sprawdź, czy FIM łapie nowe JAR-y
touch $CROWD_HOME/shared/plugins/test-fim.jar

Mapowania (Mitigations, powiązane techniki)

Mitigations (ATT&CK Enterprise):

M1051 — Update Software: szybka aktualizacja Crowd do wersji zawierającej fix.
M1042 — Disable or Remove Feature or Program: usunięcie pdkinstall-plugin i zbędnych komponentów.
M1030 — Network Segmentation: odseparowanie Crowd w DMZ/segmencie publikacyjnym.
M1047 — Audit: stały przegląd logów aplikacyjnych i kontroli integrity komponentów.

Powiązane techniki ATT&CK:

T1190,
T1505.003,
T1105,
T1059 .

Źródła / dalsza literatura

Atlassian: Crowd Security Advisory 2019‑05‑22 — wersje podatne, wersje naprawcze, mitigacja. (Atlassian Documentation)
NVD: opis i CVSS dla CVE‑2019‑11580. (NVD)
Rapid7 (opis modułu wykrywającego endpoint uploadu pluginu). (Rapid7)
CISA: Top Routinely Exploited Vulnerabilities — użycie do instalacji webshelli; KEV. (CISA)
Atlassian: lokalizacja i konfiguracja logów Crowd/Tomcat. (Atlassian Documentation)
ATT&CK: T1190, T1505.003, T1105, T1059 (wersje i zakres). (MITRE ATT&CK)

Checklisty dla SOC / CISO

SOC (operacyjna):

Monitoruj POST/PUT na /crowd/admin/uploadplugin.action (www/WAF/ALB).
Koreluj z hostem: java → sh/cmd, nowe *.jar w katalogach pluginów.
Wdróż reguły Sigma/SPL/KQL z §7 i testy z §12.
Ustal allowlist IP adminów Crowd i okna serwisowe.
Myślistwo: poszukaj webshelli/serwletów nietypowych (hash/baseline).

CISO/Architekt (strategiczna):

Patch policy: Crowd ≥ naprawione wersje (3.0.5/3.1.6/3.2.8/3.3.5/3.4.4) lub nowsze.
Segmentacja DMZ i WAF z regułą blokującą wrażliwy URI.
FIM katalogów pluginów i podpisywanie komponentów (jeśli możliwe).
Przeglądy audit logów UPM i retencja logów aplikacyjnych.
Procedury IR: izolacja, backup artefaktów, rotacja sekretów systemów zintegrowanych (AD/LDAP/M365).

Status vendor: aktualizacja opublikowana 22 maja 2019; patche dostępne dla linii 3.0.x–3.4.x; problem jest ujęty w KEV.

CVE-2015-5122 — Adobe Flash Player UAF (opaqueBackground)

TL;DR

CVE‑2015‑5122 to krytyczna luka use‑after‑free w Adobe Flash Player (klasa DisplayObject/właściwość opaqueBackground), aktywnie wykorzystywana w 2015 r. m.in. przez zestawy exploitów (Angler, RIG, Neutrino) i kampanie watering‑hole. Daje zdalne wykonanie kodu po wizycie na złośliwej lub skompromitowanej stronie (łańcuch T1189 → T1203), typowo kończąc się uruchomieniem interpretera skryptów/LOLBin z procesu przeglądarki. Dziś Flash jest EOL i globalnie blokowany, ale detekcje nadal mają wartość do wykrywania analogicznych łańcuchów klient‑strona. Patch dla Flash: 18.0.0.209 (APSB15‑18).

Krótka definicja techniczna

CVE‑2015‑5122 to błąd Use‑After‑Free (CWE‑416) w implementacji ActionScript 3 (AS3) Adobe Flash Player, który przy specjalnie spreparowanej zawartości SWF prowadzi do korupcji pamięci i zdalnego wykonania kodu bez interakcji użytkownika poza odwiedzeniem strony. Dotyczy wersji 13.x–18.0.0.203 (Windows/macOS), 11.x–11.2.202.481 (Linux) i Chrome‑Linux do 18.0.0.204; podatność była wykorzystywana w naturze w lipcu 2015 r. (CVSS v3.1: 9.8).

Gdzie występuje / przykłady platform

Windows / macOS / Linux (endpointy z przeglądarkami) — wektorem jest załadowanie wtyczki Flash (PPAPI/NPAPI/ActiveX) i wykonanie SWF z exploitami; historycznie obserwowano ładowanie modułów pepflashplayer.dll, NPSWF*.dll, procesy pokrewne (np. plugin‑container.exe / FlashPlayerPlugin_.exe).
Active Directory / VDI — ryzyko lateralne, jeśli stacje domenowe/VDI mają przestarzały Flash.
Chmury (AWS/Azure/GCP), K8s, ESXi, M365 — sama podatność dotyczy klienta, ale artefakty sieciowe (pobrania .swf z S3/CloudFront) mogą być widoczne w telemetrych chmurowych organizacji hostującej treści.
Stan obecny — Adobe zakończyło wsparcie z końcem 2020 r. i blokuje uruchamianie Flash od 12 stycznia 2021 r., lecz „zombie‑instalacje” mogą nadal istnieć w niszach środowisk.

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

Atakujący dostarcza spreparowany plik SWF, który po załadowaniu przez wtyczkę Flash wyzwala UAF w obsłudze opaqueBackground w klasie DisplayObject. Stage shellcode/ROP przejmuje kontrolę w procesie wtyczki/przeglądarki i uruchamia trwały stage‑2 (np. interpreter skryptów lub „LOLBin”), często po cichu ściągając ładunek. W 2015 r. CVE‑2015‑5122 błyskawicznie trafił do zestawów exploitów (Angler, RIG, Neutrino, Magnitude) i był użyty w watering‑hole przeciw firmie z sektora lotniczego — właśnie dlatego technika była wyjątkowo skuteczna w łańcuchach malvertising i „wejdź‑i‑zainfekuj”.

Łańcuch ATT&CK (częsty):
T1189 (Drive‑by) → T1203 (Exploitation for Client Execution) → uruchomienie interpretera/LOLBin (np. powershell.exe, mshta.exe, rundll32.exe) → T1105 (Ingress Tool Transfer)/C2. (Wzorzec zgodny z analitykami/detection strategies MITRE v18).

Łatanie i reakcje ekosystemu (2015): Adobe wydało poprawkę APSB15‑18 podnosząc Flash do 18.0.0.209 (i 13.0.0.305). Mozilla tymczasowo „soft‑blockowała” wersje do 18.0.0.203.

Artefakty i logi

Źródło	Artefakt / zdarzenie	Wartość dla detekcji
Windows Sysmon	EID 1 Process Create – dziecko `powershell.exe`, `wscript.exe`, `mshta.exe`, `rundll32.exe`, `regsvr32.exe`, `cmd.exe`, `msiexec.exe` uruchomione przez `chrome.exe`/`msedge.exe`/`iexplore.exe`/`firefox.exe`/`plugin-container.exe`/`FlashPlayerPlugin_*.exe`	Silny sygnał post‑eksploitacyjny (client → OS).
	EID 3 Network Connection – po podejrzanym procesie (C2/transfer)	Korelacja czasowa po EID 1.
	EID 7 Image Loaded – załadowanie `pepflashplayer.dll` / `NPSWF*.dll`	Kontekst historyczny (Flash w systemie).
	EID 11 FileCreate – drop w `%TEMP%`/`%APPDATA%` (EXE/DLL/SCT/VBS)	Artefakt płatka.
	EID 22 DNS Query – zapytania do rzadkich domen chwilę po wizycie WWW	Częsty sygnał EK/C2.
Windows Security	4688 Process Creation	Alternatywa gdy brak Sysmon.
Przeglądarka/OS	Crash/WER Event 1001 po błędzie wtyczki	UAF bywa poprzedzony niestabilnością.
Proxy/DNS/NGFW	Żądania `*.swf`, nietypowe przekierowania, malvertising	Kontekst T1189.
AWS CloudTrail (Data events/S3)	`GetObject` na kluczach `*.swf` z publicznych bucketów (gdy Twoja organizacja hostuje treści)	Do skanów higieny/ekspozycji.
K8s audit / M365	[nie dotyczy]	Luka dotyczy klienta, nie kontrol‑plane/SaaS.

Detekcja (praktyczne reguły)

Sigma (Windows / process_creation)

title: Browser/Flash Spawning Script Interpreters Or LOLBins
id: 4d9b8f83-7c2b-45b1-9e4b-ffb1b7b31012
status: stable
description: Wykrywa uruchomienie interpreterów/LOLBinów jako dziecka procesu przeglądarki/wtyczki Flash (łańcuch po T1203/CVE-2015-5122).
author: Badacz CVE
logsource:
  category: process_creation
  product: windows
detection:
  parent_browsers:
    ParentImage|endswith:
      - '\chrome.exe'
      - '\msedge.exe'
      - '\iexplore.exe'
      - '\firefox.exe'
      - '\plugin-container.exe'
      - '\FlashPlayerPlugin_32.exe'
      - '\FlashPlayerPlugin_64.exe'
  suspicious_children:
    Image|endswith:
      - '\powershell.exe'
      - '\wscript.exe'
      - '\cscript.exe'
      - '\mshta.exe'
      - '\rundll32.exe'
      - '\regsvr32.exe'
      - '\cmd.exe'
      - '\bitsadmin.exe'
      - '\certutil.exe'
      - '\msiexec.exe'
  condition: parent_browsers and suspicious_children
fields:
  - User
  - CommandLine
  - ParentCommandLine
  - Image
  - ParentImage
  - ProcessGuid
  - ParentProcessGuid
falsepositives:
  - Aktualizacje/instalatory uruchamiane z przeglądarki przez użytkownika
level: high
tags:
  - attack.t1203
  - attack.t1189

Splunk (Sysmon)

index=sysmon sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1
| eval parent=lower(coalesce(ParentImage,ParentProcessName)), child=lower(Image)
| where like(parent,"%\\chrome.exe") OR like(parent,"%\\msedge.exe") OR like(parent,"%\\iexplore.exe")
  OR like(parent,"%\\firefox.exe") OR like(parent,"%\\plugin-container.exe") OR like(parent,"%\\flashplayerplugin%")
| where child like("%\\powershell.exe") OR child like("%\\wscript.exe") OR child like("%\\cscript.exe")
  OR child like("%\\mshta.exe") OR child like("%\\rundll32.exe") OR child like("%\\regsvr32.exe")
  OR child like("%\\cmd.exe") OR child like("%\\bitsadmin.exe") OR child like("%\\certutil.exe") OR child like("%\\msiexec.exe")
| stats count min(_time) as first_seen max(_time) as last_seen values(CommandLine) as child_cmd by host, user, parent, child, ParentCommandLine, ProcessGuid, ParentProcessGuid
| convert ctime(first_seen) ctime(last_seen)

KQL (Microsoft Defender for Endpoint / Sentinel)

DeviceProcessEvents
| where Timestamp > ago(14d)
| where InitiatingProcessFileName in~ ("chrome.exe","msedge.exe","iexplore.exe","firefox.exe","plugin-container.exe",
                                      "FlashPlayerPlugin_32.exe","FlashPlayerPlugin_64.exe")
| where FileName in~ ("powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe",
                      "regsvr32.exe","cmd.exe","bitsadmin.exe","certutil.exe","msiexec.exe")
| summarize cnt=count(), first=min(Timestamp), last=max(Timestamp),
            make_set(ProcessCommandLine), make_set(InitiatingProcessCommandLine)
          by DeviceName, AccountName, FileName, InitiatingProcessFileName

CloudTrail (S3 data events, higiena własnych zasobów)

Szuka pobrań plików .swf z Twoich bucketów (kontrola ekspozycji/legacy).

fields @timestamp, eventName, requestParameters.bucketName as bucket, requestParameters.key as key, sourceIPAddress, userAgent
| filter eventSource = "s3.amazonaws.com" and eventName = "GetObject"
| filter key like /(?i)\.swf$/
| sort @timestamp desc

Elastic / EQL

process where
  process.parent.name in ("chrome.exe","msedge.exe","iexplore.exe","firefox.exe","plugin-container.exe",
                          "FlashPlayerPlugin_32.exe","FlashPlayerPlugin_64.exe") and
  process.name in ("powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe",
                   "regsvr32.exe","cmd.exe","bitsadmin.exe","certutil.exe","msiexec.exe")

Heurystyki / korelacje (co łączyć)

Krótki łańcuch czasowy: wizytę WWW (proxy/DNS) → child process z przeglądarki → ruch wychodzący/C2 → drop w %TEMP%. (Wzorzec MITRE Detection Strategies dla technik klienckich).
Rzadkie moduły: ładowanie starych bibliotek Flash (NPSWF*, pepflashplayer.dll) na hostach, gdzie Flash nie powinien istnieć.
Domeny jednorazowe/malvertising: przekierowania, iFrame, 302‑cushioning — znane z EK (Angler).
WER/crashe po wtyczce tuż przed spawnem interpretera.

False positives / tuning

Instalacje/aktualizacje uruchamiane z przeglądarki (np. msiexec.exe po pobraniu legalnego instalatora).
Skrypty administracyjne wywoływane z web‑portali korporacyjnych (Self‑Service).
Tuning: zawęź do parent=browser/plugin + dziecko z listy + CommandLine z wzorcami web‑download (http, -enc, -w hidden, urlmon, bitsadmin, certutil -urlcache -split) i korelacja DNS/proxy w ±2 min.

Playbook reagowania (IR)

Triage & izolacja hosta (EDR network containment).
Zabezpieczenie artefaktów:
- Zrzut pamięci podejrzanych procesów (przeglądarka/child).
- Logi: Sysmon 1/3/11/22, WER 1001, proxy/DNS; Prefetch dla child.
Szybkie IOC sweep: domeny/URL z proxy, hash dropu, ścieżki %TEMP%/%APPDATA%.
Eradykacja: usuń pozostałości, zablokuj domeny/IP, wymuś aktualizację przeglądarek, odinstaluj Flash (jeśli gdzieś jeszcze jest). Adobe blokuje uruchamianie od 12.01.2021 — resztki usunąć.
Higiena systemowa: ASR/EDR polityki block browser child, blokada wykonywania w %TEMP%.
Post‑incident: przegląd polityk web (bloki *.swf), inwentaryzacja legacy.

Przykłady z kampanii / case studies

Watering‑hole na firmę lotniczą (lipiec 2015): strona ofiary serwowała exploit na CVE‑2015‑5122; po eksploatacji instalowano backdoor IsSpace.
Exploit‑kity (2015): 0‑day z wycieku Hacking Team trafił błyskawicznie do Angler/Neutrino/RIG/Magnitude (malvertising, przekierowania).
Reakcje vendorów: aktualizacja Adobe APSB15‑18 (18.0.0.209); Mozilla czasowo blokowała starsze wersje; CISA dodała CVE‑2015‑5122 do KEV.

Lab (bezpieczne testy) — przykładowe komendy

Wyłącznie w odseparowanym labie. Nie używamy prawdziwych exploitów. Celem jest walidacja detekcji łańcucha browser → child → network.

A. Szybki test detekcji (Windows)

Otwórz przeglądarkę (np. Edge/Chrome), zostaw aktywne okno.
W drugim oknie PowerShell uruchom „symulację dziecka” (bez złośliwości):

Start-Process -FilePath "powershell.exe" -ArgumentList "-NoLogo -NoProfile -Command whoami" -WindowStyle Hidden
Start-Process -FilePath "rundll32.exe" -ArgumentList "shell32.dll,Control_RunDLL" -WindowStyle Hidden

Ten test nie odtworzy rodzica=browser, ale pozwala przetestować parsowanie pól i konfigurację korelacji w SIEM/EDR (warunki z sekcji 7). Następnie tymczasowo wyświetl alerty „wszędzie”, aby potwierdzić, że reguły działają i dociśnij tuning do parent=browser.

B. Atomic Red Team — technika pokrewna (User Execution)
Zainstaluj Invoke-AtomicRedTeam i wykonaj bezpieczne atomiki dla T1204 (np. testy link/pliku nie ściągające malware) — cel: zobaczyć eventy procesowe i dopracować korelacje.

Set-ExecutionPolicy Bypass -Scope Process -Force
iwr https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install.ps1 | iex
Invoke-AtomicTest T1204.002 -ShowDetails -PromptForInputArgs

Dokumentacja i repozytoria: Atomic Red Team, Invoke-AtomicRedTeam.

C. Higiena legacy — skan resztek Flash
Sprawdź, czy na hostach nie ma katalogów C:\Windows\SysWOW64\Macromed\Flash\ lub starych OCX/DLL i usuń/wycofaj — Flash jest EOL i blokowany.

Mapowania (Mitigations, powiązane techniki)

Mitigations (MITRE):

M1051 — Update Software (patch management przeglądarek/wtyczek; historycznie APSB15‑18).
M1040 — Behavior Prevention on Endpoint (ASR/EDR: blok browser‑child).
M1031 — Network Intrusion Prevention (IDS/IPS/secure web gateway; blokowanie *.swf, wykrywanie przekierowań/ek).
M1017 — User Training (świadomość soc‑eng/malvertising).

Powiązane techniki ATT&CK:

T1189 Drive‑by Compromise (malvertising, iFrame, redirect).
T1204.001/002 User Execution: Malicious Link/File.
T1105 Ingress Tool Transfer (pobranie ładunku po eksploatacji). (strona referencyjna ogólna)

Źródła / dalsza literatura

NVD — opis CVE‑2015‑5122 (CWE‑416, zakres wersji, CVSS, „exploited in the wild”). (NVD)
CERT/CC VU#338736 — opaqueBackground UAF, APSB15‑18, wersja naprawcza 18.0.0.209. (kb.cert.org)
CISA KEV — wpis dla CVE‑2015‑5122. (NVD)
MITRE ATT&CK T1203 / T1189 / T1204.* (opisy technik i detekcje). (MITRE ATT&CK)
Palo Alto Networks Unit 42 — watering‑hole na aerospace z wykorzystaniem CVE‑2015‑5122. (Unit 42)
Malwarebytes (J. Segura) — EK (Angler/RIG/Neutrino/Magnitude) przyjmują 0‑day Flash. (Malwarebytes)
Keysight/analiza Angler EK — techniki przekierowań (302 cushioning, domain shadowing). (Keysight)
Adobe — EOL/blokada Flash od 12.01.2021. (Adobe)
Mozilla — blokowanie starych wersji Flash (soft‑block). (Mozilla Support)
Trend Micro — podsumowanie EK w 2015 r. (dominacja Flash, malvertising). (www.trendmicro.com)
ATT&CK v18 — info o wersji/aktualizacjach. (MITRE ATT&CK)

Checklisty dla SOC / CISO

SOC (operacyjne):

Reguły z sekcji 7 wdrożone (Sigma/SPL/KQL/EQL) + korelacja proxy/DNS ±2 min.
Alarm „browser → child (interpreter/LOLBin)” = high + auto‑contain host.
Widoczność na WER/crashe pluginów i file drops w %TEMP%.
Blokowanie *.swf i legacy MIME w web‑gateway/NGFW.
Threat hunt: hosty z pepflashplayer.dll / NPSWF*.dll.

CISO (strategiczne):

Politycznie zabroniony Flash (potwierdzona deinstalacja; EOL).
ASR/EDR: „Block Office/Browser child process” i „Block executable content from email/web.”
Patch management (M1051) — gwarancja aktualnych przeglądarek; legacy wycofane.
Program szkoleń użytkowników (malvertising, „click‑to‑play” historia).

Uwagi końcowe

Flash Player jest wyłączony i blokowany przez Adobe — jakiekolwiek pozostałości należy usuwać. Dzisiejsza wartość detekcyjna polega na rozpoznawaniu wzorca zachowań klient‑strona, który pozostaje aktualny dla nowych błędów RCE w przeglądarkach/wtyczkach.

CVE-2015-3113 — Adobe Flash Player RCE

TL;DR

Krytyczna luka w Adobe Flash Player (CVE‑2015‑3113) umożliwiała zdalne wykonanie kodu poprzez przepełnienie bufora na stercie, m.in. po wejściu na złośliwą stronę lub kliknięciu odsyłacza w kampanii phishingowej. Zero‑day wykorzystywany był w operacji Clandestine Wolf (APT3), z łańcuchem: e‑mail → profilowanie JS → załadowanie pliku SWF/FLV → ROP/DEP/ASLR bypass → zrzut backdoora (SHOTPUT). Detekcja: obserwuj pobrania .swf, procesy/załadowane moduły Flash oraz nietypowe dzieci procesów Flash (cmd/powershell/wscript). Ponieważ Flash jest EOL (12.2020), każde użycie Flash w 2025 r. jest co najmniej podejrzane.

Krótka definicja techniczna

CVE‑2015‑3113 to luka typu heap‑based buffer overflow w Adobe Flash Player (przed 13.0.0.296; 14.x–18.x < 18.0.0.194 dla Windows/OS X; Linux < 11.2.202.468), pozwalająca zdalnie wykonać kod przy przetwarzaniu specjalnie spreparowanych treści Flash; w czerwcu 2015 była aktywnie wykorzystywana na wolności.

Gdzie występuje / przykłady platform

Endpointy: Windows (IE/Edge Legacy/Chrome/Firefox), macOS (Safari/Firefox/Chrome), Linux (Firefox/Chromium – PPAPI/NPAPI).
Scenariusze ataku: phishing z linkiem do serwisu z exploitem, drive‑by po wejściu na zainfekowaną stronę; znane cele zawierały m.in. Windows 7 (IE) i Firefox na XP.
Stan dzisiaj: Flash Player zakończył życie 31.12.2020 (blokada uruchomienia od 12.01.2021) — użycie w sieci produkcyjnej to incydent ryzyka.

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

Kampania Operation Clandestine Wolf przypisywana APT3 wykorzystywała e‑maile z odsyłaczami do przejętych witryn. Po kliknięciu ofiara była przekierowywana do skryptów profilujących (JS), które sprawdzały wersje przeglądarki/wtyczek. Następnie serwer dostarczał parę plików SWF + FLV wykorzystujących CVE‑2015‑3113. Exploit uzyskiwał arbitralny zapis/odczyt, wykonywał łańcuch ROP omijający DEP/ASLR, a finalnie odpalał shellcode i zrzucał backdoora SHOTPUT. Efekt: zdalne RCE i trwała kontrola hosta.

Dlaczego skuteczna?
(1) popularność Flash w 2015, (2) atak drive‑by nie wymagał pobierania plików przez użytkownika, (3) łańcuch exploitów obchodził mechanizmy łagodzące (DEP/ASLR), (4) szybka adopcja w ekosystemie exploit kitów (np. Magnitude).

Artefakty i logi

Warstwa	Artefakt / źródło	Wskaźniki / pola	Uwagi
Windows (Sysmon)	EID 1 Process Create	`Image`/`ParentImage`: `FlashPlayer.exe`, `FlashUtil.exe`, `FlashPlayerPlugin.exe`; dzieci: `cmd.exe`, `powershell.exe`, `wscript.exe`, `rundll32.exe`, `regsvr32.exe`	Nietypowe dziecko procesu Flash = silny sygnał RCE. Nazwy procesów potwierdza Adobe Flash Player Admin Guide.
Windows (Sysmon)	EID 7 Image Loaded	`ImageLoaded` = `\pepflashplayer.dll` (Chrome/Chromium)	Obserwuj załadowanie w procesach przeglądarki.
Windows (Application)	EID 1000 Application Error	Awaria modułów Flash/pepflash	Nagłe crashe Flash niedługo przed nietypowym procesem‑dzieckiem.
Proxy/NGFW/DNS	Dostęp HTTP/S do `*.swf`, MIME `application/x-shockwave-flash`	`url`, `mime`, `user_agent`, `referrer`	Koreluj z kliknięciami z e‑maila (M365).
M365 Defender	EmailUrlInfo, UrlClickEvents	`Url`, `UrlDomain`, kliknięcia Safe Links	Łącz URL .swf z hostami, które uruchomiły procesy Flash.
MITRE ATT&CK (kontekst)	APT3 + SHOTPUT	Profilowanie, dostarczenie backdoora	Do korelacji z TTP grupy.
AWS (opcjonalnie)	CloudTrail Lake (S3 Data Events)	`GetObject` na kluczach `%.swf`	Wymaga włączonych data events.
CDN	CloudFront Access Logs / Athena	`cs-uri-stem like '%.swf'`, `sc-content-type`	Przy hostowaniu/pośrednictwie treści.

Detekcja (praktyczne reguły)

Sigma (Windows / Sysmon – anomalie dzieci procesów Flash)

title: Flash Plugin Spawns Suspicious Child (CVE-2015-3113 Context)
id: 5a8b2f3b-8ce3-49d0-9f1f-6a2e1d1f3f31
status: experimental
description: Wykrywa nietypowe dzieci procesów Flash (cmd/powershell/skrpty), co bywa obserwowane przy RCE (np. CVE-2015-3113).
references:
  - https://nvd.nist.gov/vuln/detail/CVE-2015-3113
  - https://cloud.google.com/blog/topics/threat-intelligence/operation-clandestine-wolf-adobe-flash-zero-day/
tags:
  - attack.t1203
  - attack.t1189
  - attack.t1566.002
  - cve.2015-3113
logsource:
  category: process_creation
  product: windows
detection:
  sel_parent:
    ParentImage|contains:
      - '\FlashPlayer'
      - '\FlashUtil'
      - '\FlashPlayerPlugin'
  sel_child:
    Image|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
      - '\wscript.exe'
      - '\cscript.exe'
      - '\rundll32.exe'
      - '\regsvr32.exe'
  condition: sel_parent and sel_child
fields:
  - ParentImage
  - ParentCommandLine
  - Image
  - CommandLine
falsepositives:
  - Rzadkie narzędzia korporacyjne wołane z aplikacji opartej na Flash (dziś skrajnie rzadkie)
level: high

Splunk (SPL)

1) Flash uruchomiony przez przeglądarkę

index=sysmon EventCode=1
(ParentImage="*\\iexplore.exe" OR ParentImage="*\\chrome.exe" OR ParentImage="*\\firefox.exe" OR ParentImage="*\\msedge.exe")
(Image="*\\FlashPlayer*.exe" OR Image="*\\FlashUtil*.exe" OR Image="*\\FlashPlayerPlugin*.exe")
| stats count min(_time) max(_time) by host, ParentImage, Image, CommandLine, ParentCommandLine

2) Dzieci procesów Flash

index=sysmon EventCode=1
(ParentImage="*\\FlashPlayer*.exe" OR ParentImage="*\\FlashUtil*.exe" OR ParentImage="*\\FlashPlayerPlugin*.exe")
(Image="*\\cmd.exe" OR Image="*\\powershell.exe" OR Image="*\\wscript.exe" OR Image="*\\rundll32.exe" OR Image="*\\regsvr32.exe")
| table _time host ParentImage Image CommandLine

3) Proxy/HTTP — pobrania .swf

index=proxy (uri_path="*.swf" OR mime_type="application/x-shockwave-flash")
| stats count by src_ip, user, uri, http_status, user_agent, referrer

KQL (Microsoft Defender / M365)

Defender for Endpoint — dzieci procesów Flash

DeviceProcessEvents
| where InitiatingProcessFileName in~ ("FlashPlayer.exe","FlashPlayerPlugin.exe","FlashUtil32.exe","FlashUtil64.exe")
| where FileName in~ ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","rundll32.exe","regsvr32.exe")
| project Timestamp, DeviceName, InitiatingProcessFileName, FileName, ProcessCommandLine, InitiatingProcessCommandLine

MDO — kliknięcia linków .swf

UrlClickEvents
| where Url endswith ".swf" or Url has ".swf?"
| summarize Clicks=count() by UrlDomain, Url, AccountUpn, Timestamp

MDO — adresy URL w wiadomościach

EmailUrlInfo
| where Url endswith ".swf" or Url has ".swf?"
| join kind=leftouter EmailEvents on NetworkMessageId
| project Timestamp, SenderFromAddress, RecipientEmailAddress, Url, UrlDomain, Subject, ThreatTypes

(Definicje tabel: EmailUrlInfo, UrlClickEvents — dokumentacja Microsoft).

CloudTrail / CloudWatch (AWS)

Założenie: włączone S3 Data Events lub logi CloudFront.

CloudTrail Lake SQL (AWS CLI): wyszukaj pobrania *.swf z bucketów

SELECT eventTime, sourceIPAddress, userIdentity.principalId, requestParameters.bucketName AS bucket,
       requestParameters.key AS objectKey
FROM event_data_store
WHERE eventSource = 's3.amazonaws.com'
  AND eventName   = 'GetObject'
  AND requestParameters.key LIKE '%.swf'
  AND eventTime > TIMESTAMP '2025-11-01 00:00:00';

(Wymaga włączonych data events).

CloudFront / Athena (przykład):

SELECT date, time, cs_host, cs_uri_stem, sc_status, sc_content_type, c_ip, cs_user_agent
FROM cloudfront_logs
WHERE cs_uri_stem LIKE '%.swf'
ORDER BY date, time DESC;

Elastic EQL

process where
  process.parent.name in ("FlashPlayer.exe","FlashPlayerPlugin.exe","FlashUtil32.exe","FlashUtil64.exe") and
  process.name in ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","rundll32.exe","regsvr32.exe")

Heurystyki / korelacje

Klik .swf ⇒ proces Flash ⇒ podejrzane dziecko ⇒ połączenie wychodzące (czasowo blisko) — korelacja M365 (UrlClickEvents / EmailUrlInfo) + EDR + egress DNS/HTTP.
Załadowanie pepflashplayer.dll przez przeglądarkę, następnie nietypowe zachowanie (np. nagłe powershell.exe).
Rzadko używane dziś MIME application/x-shockwave-flash w ruchu web — traktuj jako anomalię.
Artefakty APT3/SHOTPUT (nietypowe rozpoznanie hosta/użytkowników/sieci po kompromitacji) jako sygnały post‑exploitation do korelacji (np. lista kont, netstat).

False positives / tuning

Dziedzictwo wewnętrzne: pojedyncze kioski/offline‑aplikacje z zawartością SWF (dziś wyjątkowe). Użyj allowlist domen/aplikacji biznesowych i ogranicz reguły do organizacji/OU, gdzie jakiekolwiek Flash jest dopuszczone.
Narzędzia administracyjne mogą incydentalnie wywołać interpretery (np. skrypty logowania), ale rodzicem nie powinien być proces Flash.
Ustal okno czasowe (np. ±5 min od kliknięcia URL .swf) i filtruj znane testy w labie.

Playbook reagowania (SOC/IR)

Zablokuj źródło: domenę/URL z .swf w proxy/DNS firewall; wypchnij blokadę przez EDR.
Izoluj host z alertem (EDR quarantine).
Triage artefaktów:
- Procesy potomne Flash, dropy w %APPDATA%, połączenia C2.
- Zrzut pamięci procesu przeglądarki/Flash (jeśli polityka na to pozwala).
Hunting rozprzestrzenienie: użyj zapytań (SPL/KQL/EQL powyżej) w horyzoncie 7–30 dni.
Patch & harden: potwierdź brak Flash w flocie (wycofanie EOL), wymuś aktualizacje przeglądarek.
Eradykacja: usuń artefakty, przeinstaluj przeglądarkę, unieważnij poświadczenia pozyskane po kompromitacji.
Lessons learned: blokada typów/MIME, EDR policy na podejrzane dzieci procesów, kampania edukacyjna „nie klikaj .swf”.

Przykłady z kampanii / case studies

Operation Clandestine Wolf (APT3/UPS) — phishing z odsyłaczami do przejętych witryn; profilowanie JS; exploit CVE‑2015‑3113; backdoor SHOTPUT (Backdoor.APT.CookieCutter). Branże: A&D, telco, high‑tech, transport, budownictwo.
Eksploatacja na szeroką skalę — szybka adopcja w exploit kitach (np. Magnitude) w 2015 r.

Lab (bezpieczne testy) — tylko w kontrolowanym środowisku

Nie instaluj Flash w produkcji. Nie testujemy exploitu — jedynie łańcuch detekcji.

Symulacja ruchu web
- curl -I https://lab.example.org/test.swf (serwuj neutralny plik binarny z nagłówkiem Content-Type: application/x-shockwave-flash).
- Zweryfikuj, że proxy/NGFW/Athena (CloudFront) odnotowały żądanie *.swf.
Symulacja korelacji M365
- Wyślij na skrzynkę testową e‑mail z linkiem do https://lab.example.org/test.swf.
- Sprawdź EmailUrlInfo / UrlClickEvents (KQL z sekcji 7).
Symulacja anomalii procesów
- Zastępczo uruchom aplikację, która imituje wzorzec: proces „AplikacjaGUI.exe” → cmd.exe /c whoami. Reguły powinny złapać schemat „aplikacja multimedialna → interpreter”. (Bez użycia Flash).

Mapowania

Mitigations (ATT&CK):

M1050 Exploit Protection — ASR/Exploit Guard/EDR exploit prevention.
M1033 Limit Software Installation — blokada instalacji wtyczek/dodatków; usunięcie Flash.
M1040 Behavior Prevention on Endpoint — blokuj podejrzane łańcuchy (Flash → skrypty/LOLBins).
M1017 User Training — prewencja kliknięć w odsyłacze .swf.

Powiązane techniki (kaskada):

T1105 Ingress Tool Transfer — dociąganie backdoora po RCE.
T1027 Obfuscated/Compressed Files & Information — xor/steganografia/packery w payloadach.

Źródła / dalsza literatura

NVD: opis, wersje, „exploited in the wild” (VI 2015). (NVD)
Mandiant/FireEye: Operation Clandestine Wolf, łańcuch ataku, SHOTPUT (APT3). (Google Cloud)
SecurityWeek: zero‑day, cele (IE na Win7, Firefox na XP), powiązanie z APT3. (SecurityWeek)
Trend Micro: adopcja w exploit kitach (Magnitude). (www.trendmicro.com)
Adobe: EOL Flash (31.12.2020). (Adobe)
Adobe Flash Player 32 Admin Guide: procesy/plik DLL (FlashUtil*, pepflashplayer.dll). (open-flash.github.io)
MITRE ATT&CK: T1189, T1566.002, T1203; wersja v18.0. (MITRE ATT&CK)
Microsoft Defender: tabele EmailUrlInfo, UrlClickEvents. (Microsoft Learn)
AWS: CloudTrail Data Events, CloudFront/Athena zapytania. (AWS Documentation)

Checklisty dla SOC / CISO

SOC (operacyjne):

Włączone telemetry: Sysmon (EID 1/7), proxy/DNS, M365 Defender (EmailUrlInfo/UrlClickEvents).
Reguły: Sigma (Flash → cmd/powershell), SPL/KQL/EQL z sekcji 7.
Korelacja: klik .swf ↔ procesy Flash ↔ dziecko/egress DNS/HTTP.
Blokady: MIME application/x-shockwave-flash, rozszerzenie .swf w bramkach.
Hunting retro 30 dni: dzieci procesów Flash i ruch do domen z kampanii (wg TI).

CISO (strategiczne):

Potwierdzić brak Flash w organizacji (EOL).
Polityka „deny by default” dla wtyczek przeglądarek.
Wymuszony Exploit Protection/EDR (M1050/M1040).
Szkolenia użytkowników (M1017) z naciskiem na klikalność linków.
Gotowość IR: playbook powyżej, retencja logów ≥ 30–90 dni.

Specjalistyczne Dystrybucje Linuksa W Cyberbezpieczeństwie

Po co nam tyle dystrybucji bezpieczeństwa? Krótki kontekst techniczny

W świecie cyberbezpieczeństwa Linux odgrywa szczególną rolę – to fundament wielu narzędzi i środowisk do testów bezpieczeństwa, analizy incydentów czy ochrony prywatności. Zwykła dystrybucja Ubuntu czy Fedora oczywiście może zostać wyposażona w potrzebne programy, ale istnieją gotowe systemy tworzone z myślą o konkretnych zadaniach.

Czytaj dalej

Pentest (Test Penetracyjny) — Co To Jest? Kompletny Przewodnik

Co to jest test penetracyjny (pentest)?

Test penetracyjny (ang. penetration test, potocznie pentest) to kontrolowany, celowy atak symulowany na system informatyczny, aplikację lub sieć, przeprowadzany w celu oceny bezpieczeństwa tego systemu. Innymi słowy, jest to zaplanowane “hakowanie” własnej infrastruktury – etyczny atak wykonywany za zgodą właściciela systemu.

Czytaj dalej

LG Energy Solution potwierdza incydent ransomware w zagranicznym zakładzie. Grupa Akira twierdzi, że ukradła 1,67 TB danych

Wprowadzenie do problemu / definicja luki

LG Energy Solution (LGES), jeden z największych na świecie producentów baterii litowo-jonowych dla pojazdów elektrycznych i magazynów energii, potwierdził atak ransomware na „konkretny zagraniczny zakład”. Spółka poinformowała, że pozostałe lokalizacje, w tym centrala, nie zostały dotknięte, a zaatakowany obiekt wrócił do normalnej pracy po działaniach naprawczych. Firma prowadzi nadal operacje bezpieczeństwa i dochodzenie zapobiegawcze.

Równolegle na serwisach śledzących wycieki pojawiło się przypisanie incydentu do grupy Akira, która utrzymuje, że wykradła około 1,67 TB dokumentów korporacyjnych i ~46 GB baz SQL i grozi publikacją danych. (Twierdzenia przestępców nie zostały niezależnie zweryfikowane przez redakcję w momencie publikacji).

W skrócie

Potwierdzenie incydentu: LGES – atak dotyczył jednego zagranicznego zakładu; produkcja przywrócona; trwają działania prewencyjne.
Roszczenia przestępców: Grupa Akira przypisuje sobie włamanie i grozi ujawnieniem 1,67 TB danych. (Deklaracje napastników).
Szersze tło: Akira jest aktywnie obserwowana przez CISA/FBI/DC3; najnowsza wspólna publikacja ostrzegawcza zawiera aktualne IOC/TTP i zalecenia.
Ryzyko sektorowe: potencjalny wpływ na łańcuchy dostaw EV/ESS, dane pracownicze oraz systemy OT/IT w zakładach produkcyjnych. (Wnioski na podstawie charakterystyki ofiar Akiry i praktyk podwójnego wymuszenia).

Kontekst / historia / powiązania

Akira działa od 2023 r., stosując model double-extortion (kradzież + szyfrowanie) i utrzymując serwis wyciekowy w sieci Tor. W 2024–2025 r. operatorzy rozwijali narzędzie szyfrujące (m.in. warianty dla Windows i Linux), a w kampaniach coraz częściej wykorzystują znane luki w VPN/backupach i narzędzia do zdalnego dostępu. Organy rządowe USA (CISA/FBI/DC3/HHS) 6–13 listopada 2025 r. ponownie wydały zaktualizowaną poradę #StopRansomware dedykowaną Akirze po fali ataków.

Analiza techniczna / szczegóły luki

Poniżej syntetyzujemy obecne TTP Akiry wg najnowszych materiałów CISA oraz badań branżowych:

Wejście (Initial Access): nadużycia znanych CVE w urządzeniach brzegowych (np. VPN, firewalle), systemach backupu oraz zdalnym zarządzaniu; kampanie phishingowe i nadużycie poświadczeń; obserwowano wykorzystanie luk pokroju CVE-2023-27532 (Veeam), CVE-2024-40766 (SonicWall) oraz podobnych wektorów.
Ruch boczny i eskalacja: użycie legalnych RMM (AnyDesk/LogMeIn), RDP, LSASS dump/credential theft; na hostach Linux/ESXi – ukierunkowane szyfrowanie zasobów produkcyjnych i plików VM.
Szyfrowanie/utrudnianie odzysku: w nowszych wariantach Windows wykorzystywany jest m.in. algorytm ChaCha8; usuwanie shadow copies i wyłączanie usług backupu skryptami PowerShell.
Eksfiltracja i wymuszenie: stały element operacji; publikacja nazw ofiar i porcji danych na stronie wyciekowej jako presja negocjacyjna.

Uwaga: LGES nie potwierdziło publicznie, że elementem ataku było szyfrowanie czy eksfiltracja określonego wolumenu danych – informacje te pochodzą od sprawców i agregatorów wycieków.

Praktyczne konsekwencje / ryzyko

Łańcuch dostaw motoryzacji i energii: nawet lokalny incydent w zakładzie ogniw/packów może powodować opóźnienia logistyczne, a w przypadku wycieku – ryzyko ekspozycji dokumentacji jakościowej, BOM-ów, planów testów czy danych partnerów. (Wniosek sektorowy na podstawie profilu LGES).
Ryzyko dla danych osobowych: potencjalna ekspozycja danych pracowniczych/kontrahentów zwiększa prawdopodobieństwo phishingu ukierunkowanego i nadużyć tożsamości. (Jeśli potwierdzi się narracja Akiry o bazach SQL).
Efekt domina IT/OT: Akira posiada zdolność atakowania środowisk wirtualizacyjnych i backupów, co może komplikować odtwarzanie i forensykę oraz wpływać na ciągłość produkcji.

Rekomendacje operacyjne / co zrobić teraz

Dla producentów i firm z łańcucha dostaw EV/ESS:

Weryfikacja ekspozycji brzegowej: natychmiastowy audyt urządzeń VPN/UTM, firewall (ASA/FTD), SonicWall, bram RDP i serwerów backupu pod kątem znanych CVE wskazywanych w poradach CISA – z potwierdzeniem wersji i dat zastosowania łat.
Segmentacja i „blast radius”: rozdzielenie IT/OT, kontrola ruchu do stref produkcyjnych (PLC/SCADA) i środowisk wirtualnych (ESXi/Hyper-V/AHV); zasada zero trust dla kont serwisowych.
Twardo zaszyte kopie zapasowe: 3-2-1-1 (w tym izolowana, niezmienialna kopia poza domeną AD) + regularne testy odtwarzania; monitorowanie niepożądanych operacji na repozytoriach backupu.
EDR + MDE/Defender for Server: detekcje TTP Akiry (np. wywołania PowerShell usuwające shadow copies, nietypowe RMM, LSASS dump); reguły blokujące narzędzia Living-off-the-Land.
MFA wszędzie + hardening AD: zwłaszcza kont uprzywilejowanych i dostępów zdalnych; kontrola tokenów i polityki Kerberos/NTLM.
IR playbook zgodny z #StopRansomware: gotowe procedury izolacji, triage artefaktów, kontakt z CERT/LE, polityka decyzyjna nt. okupu; mapowanie do IOCs z najnowszej publikacji CISA/FBI/DC3/HHS.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Akira vs. ALPHV/BlackCat: obie operacje stosują podwójne wymuszenie i szybkie unieruchamianie kopii zapasowych; Akira w 2024–2025 była aktywnie rozwijana (m.in. ChaCha8, Linux/VM/backup focus), a jej kampanie są obecnie przedmiotem świeżych ostrzeżeń wielu agencji. ALPHV była szeroko zakłócana przez organy ścigania pod koniec 2023 r., co jednak nie przełożyło się na trwały spadek aktywności całego ekosystemu RaaS.

Podsumowanie / kluczowe wnioski

LGES potwierdziło ograniczony geograficznie incydent ransomware i przywróciło pracę zakładu; pełna skala i charakter (szyfrowanie/wyciek) pozostają przedmiotem dochodzenia.
Grupa Akira przypisała sobie atak i grozi publikacją danych – to element presji negocjacyjnej, który wymaga weryfikacji.
Organizacje z sektora produkcji baterii/EV/ESS powinny pilnie przejrzeć ekspozycję na wektory wejścia wykorzystywane przez Akirę zgodnie z najnowszymi wskazówkami CISA/FBI/DC3/HHS i wdrożyć techniczne środki utrudniające destrukcję backupów i ruch boczny.

Źródła / bibliografia

The Record (Recorded Future News): „LG battery subsidiary says ransomware attack targeted overseas facility”, 18 listopada 2025. (The Record from Recorded Future)
Ransomware.live: wpis o ofierze „LG Energy Solution” przypisany do grupy Akira, 17 listopada 2025. (ransomware.live)
CISA/FBI/DC3/HHS: #StopRansomware: Akira Ransomware – zaktualizowana porada, 13 listopada 2025 (wersja PDF z IOC/TTP). (CISA)
Cisco Talos: „Akira ransomware continues to evolve”, 21 października 2024 – ewolucja wariantów, TTP. (Cisco Talos Blog)
IBM X-Force: „Spotlight on Akira ransomware” – podsumowanie taktyk i obserwacji IR. (IBM)

Google łata nowy zero-day w Chrome (CVE-2025-13223) aktywnie wykorzystywany w atakach

Wprowadzenie do problemu / definicja luki

Google wydał awaryjną aktualizację przeglądarki Chrome, aby usunąć wysokiej wagi lukę CVE-2025-13223 w silniku JavaScript V8. Błąd ma charakter type confusion i jest już aktywnie wykorzystywany („exploit in the wild”). Łatka została udostępniona w wersjach 142.0.7444.175/.176 dla Windows, 142.0.7444.176 dla macOS oraz 142.0.7444.175 dla Linuksa.

W skrócie

Co: CVE-2025-13223 – błąd type confusion w V8 (możliwa korupcja sterty, potencjalne RCE).
Status: aktywnie wykorzystywany; Google ogranicza szczegóły do czasu zaktualizowania większości użytkowników.
Wersje z poprawką: 142.0.7444.175/.176 (Win), 142.0.7444.176 (macOS), 142.0.7444.175 (Linux).
Ocena wstępna: media branżowe raportują CVSS ~8.8 (wysoka).

Kontekst / historia / powiązania

To już siódmy zero-day w Chrome w 2025 r., jaki Google musiał łatać awaryjnie. Poprzednie przypadki obejmowały m.in. inne błędy w V8 oraz luki umożliwiające eskalację uprawnień lub ominięcie piaskownicy. Google tradycyjnie wstrzymuje publikację szczegółów technicznych do czasu rozpowszechnienia aktualizacji.

Analiza techniczna / szczegóły luki

CVE-2025-13223 to błąd klasy type confusion w V8 (JS/WebAssembly). Tego typu podatności wynikają z nieprawidłowych założeń co do typu obiektu w czasie wykonania, co może prowadzić do błędów pamięci (heap corruption). W praktyce możliwe jest wyzwolenie podatności poprzez spreparowaną stronę HTML i uzyskanie zdalnego odczytu/zapisu pamięci procesu przeglądarki — w określonych warunkach aż do zdalnego wykonania kodu (RCE) lub obejścia izolacji.

Zakres dotkniętych wersji: Chrome przed 142.0.7444.175/176 (desktop). Dystrybucje i advisories (NVD, Ubuntu, NHS) potwierdzają charakter podatności i progi wersji.

Praktyczne konsekwencje / ryzyko

Atak bezplikowy przez przeglądarkę: wystarczy wejście na złośliwą stronę lub wczytanie złośliwej reklamy/iframe, aby wyzwolić błąd.
Potencjalne RCE/eskalacja w łańcuchu exploitów: luki V8 są często łączone z innymi błędami (np. sandbox escape) w pełne łańcuchy ataków.
Profil celów: TAG często wiąże zero-daye z kampaniami APT/spyware wymierzonymi w osoby wysokiego ryzyka (dziennikarze, opozycja). Choć w tym przypadku brak jeszcze szczegółów atrybucji, Google potwierdza aktywną eksploatację.

Rekomendacje operacyjne / co zrobić teraz

Natychmiastowa aktualizacja przeglądarki na stacjach roboczych i serwerach z GUI:
- Chrome → Menu → Pomoc → Informacje o Google Chrome → Aktualizuj i Uruchom ponownie. Wersja docelowa: 142.0.7444.175/.176 (zależnie od OS).
Zarządzanie flotą (Intune/Google Admin/Jamf): wymuś roll-out kanału Stable 142.0.7444.175/176; monitoruj wskaźnik zgodności. (Na podstawie wersji z ogłoszenia Stable Channel.)
Chromium-based: sprawdź aktualizacje w przeglądarkach pochodnych (Edge, Brave, Opera), ponieważ podatność dotyczy V8. (Wniosek z charakteru luki; weryfikuj advisories vendorów).
Hardening przeglądarki do czasu pełnej zgodności:
- włącz Site Isolation, ogranicz uprawnienia JS dla niezaufanych domen (np. polityki ExtensionInstallBlacklist/URLBlacklist), rozważ uBO/NoScript w środowiskach wrażliwych;
- egzekwuj automatyczne aktualizacje i restart przeglądarki (GPO/MDM).
Detekcja i reagowanie:
- monitoruj anomalia w procesach chrome.exe/chromium (spawn nieoczekiwanych child-processów, zrzuty pamięci, niepodpisane DLL);
- telemetria przeglądania: nietypowe crashe V8, błędy Render Process gone po wejściu na daną domenę mogą wskazywać na testowanie exploitów.
Zarządzanie ryzykiem:
- zaktualizuj rejestr podatności i KPI patchowania;
- jeśli organizacja stosuje allowlistę stron, tymczasowo ogranicz odwiedzanie nieznanych domen na stanowiskach o wysokiej wrażliwości.

Różnice / porównania z innymi przypadkami

Google w 2025 r. kilkukrotnie łatał zero-daye w V8. W odróżnieniu od wrześniowej luki CVE-2025-10585 (również type confusion), obecna podatność dotyczy gałęzi 142 i ma podobny wektor (spreparowany HTML/JS). W obu przypadkach Google ogranicza szczegóły do czasu powszechnego wdrożenia łatki.

Podsumowanie / kluczowe wnioski

Zaktualizuj Chrome do 142.0.7444.175/.176 jak najszybciej — exploit już krąży.
Luka dotyczy V8 (type confusion) i może prowadzić do RCE w odpowiednich warunkach.
Organizacje powinny wymusić restart przeglądarki po instalacji oraz audytować zgodność floty.

Źródła / bibliografia

Chrome Releases – Stable Channel Update for Desktop (17 listopada 2025): wersje i status exploitu. (Chrome Releases)
BleepingComputer – omówienie i kontekst siódmego zero-daya w 2025 r. (BleepingComputer)
NVD (NIST) – opis techniczny CVE-2025-13223 (V8, type confusion, heap corruption). (NVD)
SecurityWeek – wzmianka o CVSS 8.8 i implikacjach dla RCE. (SecurityWeek)
NHS Digital Cyber Alert – wersje zawierające poprawkę i status „exploited”. (NHS England Digital)