Ataki cybernetyczne ewoluują – napastnicy coraz częściej wykorzystują sztuczną inteligencję (AI) do automatyzacji i skalowania swoich działań. Dlaczego Blue Team powinien się tym przejmować? Przede wszystkim, AI pozwala atakującym na szybsze i bardziej złożone kampanie, które mogą przerosnąć tradycyjne metody detekcji. Amazon raportuje obecnie niemal miliard prób ataków dziennie, co częściowo przypisuje właśnie wykorzystaniu AI przez obie strony konfliktu.
OWASP Top 10 w praktyce: krótki kontekst zanim przejdziemy dalej
OWASP Top 10 to globalny standard opisujący 10 najpoważniejszych ryzyk bezpieczeństwa aplikacji webowych. Najnowsza edycja – OWASP Top 10 2025 – została właśnie opublikowana (po raz ósmy, poprzednio w 2021 roku) i przynosi ważne zmiany. Dla studentów i początkujących specjalistów cyberbezpieczeństwa znajomość tej listy jest kluczowa.
W popularnym skanerze z rodziny Imunify – module AI-Bolit dostarczanym w Imunify360, ImunifyAV+ oraz darmowym ImunifyAV – wykryto krytyczny błąd pozwalający na zdalne wykonanie kodu (RCE) podczas analizy złośliwych, obfuskowanych plików PHP. Luka dotyczy wersji przed 32.7.4.0. Dostawca (CloudLinux/Imunify) wydał poprawki i zaleca natychmiastową aktualizację do ≥ 32.7.4.0; backport dla starszych gałęzi Imunify360 pojawił się 10 listopada 2025 r.
Kluczowe: wektor ataku uruchamia się w trakcie skanowania – skaner, próbując „odkleić” warstwy obfuskacji, może wykonać funkcje wskazane przez napastnika (np. system, exec, shell_exec, passthru, eval).
W skrócie
Zagrożone: instalacje Imunify360/AV+/AV z komponentem AI-Bolit < 32.7.4.0.
Ryzyko: RCE z uprawnieniami procesu skanera; na hostingu współdzielonym może to oznaczać pełne przejęcie serwera.
Wektor: specjalnie przygotowane, obfuskowane pliki PHP skanowane przez AI-Bolit (deobfuskacja wymuszona w integracji Imunify).
Stan: poprawka dostępna; brak CVE w momencie publikacji; oficjalna notka w bazie wiedzy, wzmianka w changelogu.
Akcja: update do 32.7.4.0+, audyt artefaktów po ewentualnym RCE, ograniczenie uprawnień procesu skanera, izolacja.
Kontekst / historia / powiązania
To nie pierwszy raz, gdy AI-Bolit ma problem z wykonywaniem nieufnych danych. W 2021 r. Talos opisał RCE (CVE-2021-21956) wynikające z PHP unserialize w AI-Bolit (dot. wersji 5.8–5.10.2), naprawione w 5.11.3. Obecna podatność jest innej natury, ale podobnie dotyka ścieżki analizy złośliwych próbek.
Wg źródeł publicznych, o problemie w 2025 r. informowano od końca października; 4 listopada pojawił się wpis w Zendesk (Knowledge Base) pt. „Ai-Bolit security vulnerability before v32.7.4.0”; 10 listopada – backport; 12–13 listopada – publikacje techniczne i prasowe.
Analiza techniczna / szczegóły luki
Miejsce błędu
AI-Bolit stosuje heurystyki i moduły deobfuskacji do rozklejania łańcuchów base64/gzinflate/pack/chr/ord/....
Krytyczna część logiki wywołuje funkcje przez call_user_func_array na nazwach funkcji odzyskanych z próbki (np. system, shell_exec, eval) – bez walidacji.
W CLI deobfuskacja bywa domyślnie wyłączona, ale integracja Imunify (Python wrapper) zawsze przekazuje --deobfuscate dla wszystkich typów skanów (tła, on-demand, user-initiated, rapid).
Wymagania ataku
Napastnik umieszcza plik PHP zawierający specjalnie przygotowany, obfuskowany ładunek (np. w katalogu strony lub katalogu tymczasowym), który trafi do skanera AI-Bolit.
W trakcie deobfuskacji skaner wykonuje zakodowane ciągi jako nazwy funkcji i argumenty → RCE.
Patchstack publikuje PoC, który podczas skanowania tworzy plik w /tmp – dowód wykonania komendy.
Poprawka
Vendor dodał whitelistę funkcji bezpiecznych i „deterministycznych” (np. base64_decode, gzinflate, strrev, chr, ord, …) oraz blokadę arbitralnych wywołań.
Praktyczne konsekwencje / ryzyko
Hosting współdzielony (cPanel/Plesk): jeśli skaner działa z podwyższonymi uprawnieniami (częste), exploity mogą umożliwić eskalację poza pojedynczy vhost – do roota w niektórych, źle utwardzonych konfiguracjach.
Zaciemnienie śladów: ładunki są z natury obfuskowane; logi skanera mogą nie zapisać jednoznacznej sygnatury. Trzeba polować na artefakty boczne (np. tworzone pliki w /tmp, nieoczekiwane połączenia wychodzące z procesu skanera PHP).
Łańcuchy ataków: możliwe dołożenie web-shelli, modyfikacja wp-config.php, wstrzyknięcie crontabów użytkowników, pivot na inne konta poprzez wspólne ścieżki/UID. (Wniosek z natury RCE skanera działającego globalnie na hostingu.)
Rekomendacje operacyjne / co zrobić teraz
1) Natychmiastowa aktualizacja
Docelowa wersja: AI-Bolit/Imunify AV 32.7.4.0 lub nowsza.
Oficjalne potwierdzenie i komunikat KB: „Ai-Bolit security vulnerability before v32.7.4.0” (CloudLinux Zendesk).
Uwaga: nazwy paczek różnią się między dystrybucjami/integracjami. W razie wątpliwości – sprawdź dpkg -l | grep -i imunify / rpm -qi <pakiet>.
2) Weryfikacja, czy wersja jest już bezpieczna
Ponieważ AI-Bolit to komponent, w praktyce sprawdzamy wersję paczek Imunify oraz binariów w /opt/ai-bolit/:
# szybkie tropy wersji
strings /opt/ai-bolit/ai-bolit.php 2>/dev/null | egrep -i 'version|ai-bolit'
# lub:
grep -i version /opt/ai-bolit/* 2>/dev/null
# Imunify360/AV wersje pakietów
imunify360-agent version 2>/dev/null || true
rpm -qa | grep -i ai-bolit || dpkg -l | grep -i ai-bolit
(Dostawca nie publikuje jednolitego polecenia „–version” dla AI-Bolit w każdej dystrybucji; opieramy się więc na wersjach pakietów i artefaktach plikowych). Informacja o wymaganej wersji pochodzi z BleepingComputer/KB.
3) Działania kompensacyjne (jeśli patch musi poczekać – niezalecane)
Izoluj skaner: uruchamiaj w kontenerze/sandboxie z mnim. uprawnieniami (AppArmor/SELinux profil, noexec na /tmp, ograniczenia sieciowe).
Zabroń deobfuskacji w trybie standalone (CLI) – nie w pełni skuteczne w integracji Imunify, która i tak wymusza --deobfuscate.
UCIĄĆ możliwości wykonania: mounty nodev,nosuid,noexec dla partycji tymczasowych (/tmp, /var/tmp, dev/shm).
4) Polowanie na ślady (triage po incydencie)
Skorzystaj z informacji o PoC (tworzenie pliku w /tmp), a także ogólnych wzorców RCE z PHP:
# 1) Artefakty PoC oraz potencjalnych ładunków
find /tmp -maxdepth 1 -type f -mmin -4320 -printf '%TY-%Tm-%Td %TT %p %s\n' | egrep 'l33t|def|tmp|\.php'
# 2) Nietypowe wywołania procesu skanera (czas skanów)
ps -eo user,pid,ppid,lstart,cmd | egrep -i 'ai-bolit|imunify|php'
# 3) Ostatnio zmieniane pliki w vhostach (web-shelle, .php w uploadach)
find /home /var/www -type f -mtime -2 -iname '*.php' -printf '%p %TY-%Tm-%Td %TT %u:%g %s\n' | head
# 4) Crontaby i autostarty użytkowników
for u in $(cut -d: -f1 /etc/passwd); do crontab -l -u "$u" 2>/dev/null | sed "s/^/$u: /"; done
# 5) Grep na funkcje wysokiego ryzyka w drzewach WWW
grep -R --include=*.php -nE '(shell_exec|system|passthru|eval\()' /var/www /home/*/public_html 2>/dev/null
Dodatkowo przejrzyj logi serwera w oknach czasowych skanów oraz outbound (egres) procesu PHP/ai-bolit.
5) Utwardzanie na przyszłość
Uruchamiaj skanery pod odseparowanym użytkownikiem, bez roota; ogranicz CAP_*.
Włącz LSM (AppArmor/SELinux) z profilami dla procesu skanera.
W hostingach współdzielonych: CageFS/CloudLinux, mod_suexec/php-fpm per-user, izolacja sieciowa i systemowa per konto.
Monitoring integralności (AIDE/OSSEC/Wazuh) + alerty na tworzenie plików wykonywalnych w /tmp.
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
CVE-2021-21956 (AI-Bolit unserialize) – RCE przez niebezpieczne deserializacje; naprawione w 5.11.3.
Obecna luka (2025) – RCE przez wykonywanie funkcji odzyskanych z obfuskowanego kodu podczas deobfuskacji; brak CVE w chwili pisania, naprawa w 32.7.4.0 i nowszych. Wspólny mianownik: powierzchnia ataku w silniku analizy skanera. Wnioski dla vendorów: deobfuskacja powinna być czysto syntaktyczna, nigdy „egzekucyjna”.
Podsumowanie / kluczowe wnioski
Jeśli używasz Imunify360/ImunifyAV(+), zaktualizuj natychmiast do ≥ 32.7.4.0.
Potraktuj środowisko jak potencjalnie naruszone, jeśli skany uruchamiano na niezaufanych plikach w okresie przed aktualizacją – wykonaj triage i threat hunting.
Nawet narzędzia bezpieczeństwa wymagają zasady najmniejszych uprawnień i izolacji; skaner AV nie powinien móc zniszczyć całego hosta.
Źródła / bibliografia
BleepingComputer – „RCE flaw in ImunifyAV puts millions of Linux-hosted sites at risk”, 13 listopada 2025 (szczegóły wersji, kontekst wdrożeń, backport 10 XI). (BleepingComputer)
Patchstack – „Critical: Remote Code Execution via Malicious Obfuscated Malware in Imunify360 AV (AI-Bolit)”, 12 listopada 2025 (analiza techniczna, PoC, wymuszenie --deobfuscate, opis łatki). (Patchstack)
CloudLinux/Imunify – Knowledge Base: „Ai-Bolit security vulnerability before v32.7.4.0.”, wpis z 4–12 listopada 2025 (oficjalna notka i zalecenie aktualizacji). (cloudlinux.zendesk.com)
NVD/Cisco Talos – CVE-2021-21956 (porównanie z wcześniejszym RCE w AI-Bolit, 2021). (NVD)
„The Washington Post” poinformował o naruszeniu danych obejmującym 9 720 obecnych i byłych pracowników oraz kontraktorów. Atakujący uzyskali dostęp do środowiska ERP gazety wykorzystując wtedy nieznaną (zero-day) podatność w Oracle E-Business Suite (EBS), a następnie wykradli dane i podjęli próbę wymuszenia okupu. Do incydentu doszło w okresie 10 lipca – 22 sierpnia 2025 r., a jego potwierdzenie nastąpiło po dochodzeniu zakończonym 27 października 2025 r.. Wykradzione informacje obejmują imiona i nazwiska, numery kont i routingu bankowego oraz numery Social Security / NIP-y.
Według zgodnych relacji mediów branżowych, za kampanię stoi grupa Cl0p, znana z masowych ataków na łańcuch dostaw i operacje typu data theft + extortion.
W skrócie
Kogo dotyczy: prawie 10 tys. osób powiązanych z Washington Post (pracownicy, byli pracownicy, kontraktorzy).
Co wyciekło: dane tożsamości + wrażliwe dane finansowe (kont bankowych) oraz SSN/Tax ID.
Wektor ataku:pre-auth RCE w Oracle EBS wykorzystywana jako 0-day (CVE-2025-61882) i powiązana luka CVE-2025-61884 (przerwanie łańcucha eksploatacji).
Taktyka przeciwnika: cicha infiltracja, eksfiltracja danych HR/finansowych, następnie szantaż mailowy kierowany do kierownictwa.
Czas wykrycia: sygnałem były wiadomości od „bad actor” z 29 września; organizacja powiązała je z podatnością ujawnioną przez Oracle w październiku.
Kontekst / historia / powiązania
Kompromitacja Washington Post to element szerszej kampanii wymierzonej w klientów Oracle EBS. Oracle opublikował Alert bezpieczeństwa dla CVE-2025-61882 (pre-auth RCE) 4 października 2025 r., a następnie kolejną łatę dla CVE-2025-61884, co miało utrudnić łańcuch nadużyć. W tle firmy zgłaszały zmasowane maile z żądaniami okupu i groźbami publikacji danych. Analizy Google Cloud Threat Intelligence wskazują, że aktywność napastników zaczęła się najpóźniej na początku sierpnia, a ślady sięgają 10 lipca 2025 r.—czyli zanim patch był dostępny.
Analiza techniczna / szczegóły luki
Co to za podatności?
CVE-2025-61882 – zdalne wykonanie kodu bez uwierzytelnienia w komponencie Oracle E-Business Suite / Concurrent Processing (BI Publisher Integration). Eksploatacja możliwa z poziomu sieci bez konta użytkownika. CVSS wysoki/krytyczny.
CVE-2025-61884 – kolejna krytyczna luka w EBS, również pre-auth, opublikowana po wzmożonych atakach, aby zatrzymać łańcuch exploitów wykorzystywany przez przestępców.
Niezależne raporty badaczy (Google Cloud) łączą kampanię z Cl0p i opisują etapową eksploatację: wejście do aplikacji EBS przez 0-day, zagnieżdżenie w warstwie aplikacyjnej, eksfiltrację plików HR/finansowych oraz mailową eskalację żądań do kadry kierowniczej. W wielu organizacjach napastnicy działali tygodniami, zanim Oracle opublikował poprawki.
Dlaczego EBS jest tak atrakcyjnym celem?
EBS scala krytyczne procesy (HR, kadry-płace, finanse, łańcuch dostaw). Dostęp aplikacyjny = dostęp do baz danych z danymi płacowymi i identyfikatorami podatkowymi. To „złoto” dla operacji kradzieży tożsamości i przejęć wynagrodzeń (payroll diversion).
Jak mogła wyglądać ścieżka ataku (model uproszczony)?
Wejście: zdalny exploit (pre-auth RCE) w EBS.
Utrwalenie: artefakty w katalogach aplikacji / jobach „Concurrent Processing”, ew. zmiany w szablonach raportów.
Eksfiltracja: bezpośrednio z serwera app/DB lub przez zadania raportowe (BI Publisher).
Szantaż: e-maile do C-level/Legal z próbką danych i żądaniem okupu.
Praktyczne konsekwencje / ryzyko
Dla osób, których dane wyciekły:
Ryzyko kradzieży tożsamości (SSN/Tax ID), fraudów finansowych (numery kont/routing), ataków socjotechnicznych (targeted phishing). Washington Post oferuje 12–24 mies. monitoringu tożsamości (IDX).
Dla organizacji korzystających z Oracle EBS:
Ryzyko masowe: identyczny wektor dostępny przeciwko setkom instalacji (character of 0-day + szerokie wdrożenia).
Ryzyko regulacyjne: obowiązki notyfikacyjne (AG, regulatorzy sektorowi), możliwe pozwy zbiorowe.
Rekomendacje operacyjne / co zrobić teraz
Poniższe kroki można potraktować jako checklistę IR/defense dla zespołów SecOps/IT-ERP.
1) Natychmiastowe łatanie i twardnienie
Zastosuj łatę Oracle dla CVE-2025-61882 oraz CVE-2025-61884 (właściwy alert + CPU Oct 2025). Zweryfikuj poziom łat w każdym środowisku (prod/UAT/dev).
Włącz WAF/IPS z regułami wirtualnego łatania dla znanych wzorców żądań do komponentów EBS (BI Publisher/Concurrent Processing).
Ogranicz dostęp z internetu – EBS powinien być publikowany wyłącznie przez bramę z kontrolą tożsamości/segregacją i DLP.
2) Okno dochodzeniowe i triage
Oracle oraz niezależne analizy wskazują na aktywność napastników od lipca–sierpnia 2025. Przejrzyj logi od 1 lipca 2025 r. do dziś. Minimalny zestaw artefaktów do sprawdzenia:
Splunk (HTTP access – anomalie względem BI Publisher / XDO):
index=web OR index=ebs_logs sourcetype=access_combined
("xmlpserver" OR "xdo" OR "bipublisher")
| stats count avg(bytes) sum(bytes) values(status) by src, uri_path, http_method
| where count > 50 OR sum(bytes) > 50000000
Elastic/KQL (egress z hostów app EBS):
host.name : ("ebs-app-*") and
destination.bytes >= 10485760 and
not destination.ip in (internal_ranges)
Sigma (modyfikacja szablonów/artefaktów EBS – przykład ogólny):
title: Oracle EBS Suspicious BI Publisher Template Change
logsource:
product: linux
service: auditd
detection:
selection:
evt.type: "PATH"
file.path|contains:
- "/xmlpserver/"
- "/xdo/"
condition: selection
level: medium
Uwaga: ścieżki/artefakty dopasuj do konkretnej instalacji EBS (nazwa instancji, katalogi custom). Celem jest szybkie wyłapanie nietypowych modyfikacji.
4) Ochrona danych osobowych (HR/Payroll)
Rotacja tajemnic: hasła DB, konta integracyjne, klucze API do systemów płacowych.
Zamrożenie zmian płatniczych i weryfikacja na dwóch kanałach dla dyspozycji dot. kont wynagrodzeń.
Notyfikacja i wsparcie: zaoferuj monitoring kredytowy/kradzieży tożsamości – tak, jak zrobił Washington Post (IDX).
5) Długofalowe kontrole
Segmentacja: EBS w osobnej strefie, minimalny ruch do/z Internetu, egress ograniczony listami FQDN.
SBOM/asset inventory dla ERP i proces „patch SLO” z testowaniem off-cycle (poza CPU).
Kontrola zmian EBS – śledzenie szablonów BI Publisher, jobów „Concurrent Processing”, ról EBS (alerting na odchylenia).
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
Atak na EBS przypomina kampanię Cl0p na MOVEit (2023) – ten sam wzorzec: 0-day w popularnym produkcie, szybka eksfiltracja, szantaż masowy. Różnica: w EBS stawką są pełne rekordy HR/finansowe (SSN + konta bankowe), co eskaluje ryzyko w porównaniu z wieloma „typowymi” wyciekami PII. Doniesienia mówią także o żądaniach do 50 mln USD, co podkreśla presję finansową na ofiary.
Podsumowanie / kluczowe wnioski
Wysoka krytyczność: pre-auth RCE w systemie klasy ERP = natychmiastowy priorytet łatania i monitoringu.
Długi dwell time 0-day: aktywność trwała przed publikacją łat, więc okno dochodzeniowe musi być szerokie (min. od lipca 2025).
Konsekwencje realne, nie hipotetyczne: wyciek SSN i danych bankowych zwiększa ryzyko fraudów – wdrożyć procesy anty-fraud w HR/Payroll.
Nie tylko jedna ofiara: kampania ma charakter seryjny – jeśli masz EBS, załataj, przeszukaj, utwardź.
Źródła / bibliografia
BleepingComputer – szczegóły incydentu, skala, typy danych, przebieg czasowy. (BleepingComputer)
Pismo notyfikacyjne Washington Post do poszkodowanych (CA OAG) – daty, zakres danych, działania naprawcze.
Oracle Security Alert – CVE-2025-61882 (pre-auth RCE w EBS). (Oracle)
Google Cloud Threat Intelligence – oś czasu ataków na EBS i atrybucja kampanii. (Google Cloud)
CyberScoop – kontekst kampanii Cl0p wobec klientów Oracle i zakres wycieku w WP. (CyberScoop)
13 listopada 2025 r. opublikowano zaktualizowaną wspólną poradę (#StopRansomware) dot. grupy Akira. Dokument (AA24-109A) ostrzega o pilnym zagrożeniu dla infrastruktury krytycznej, nowych technikach oraz wskaźnikach kompromitacji (IOC). Najistotniejszy wątek: wejście przez urządzenia VPN (szczególnie SonicWall, CVE-2024-40766) i rozszerzenie szyfrowania na maszyny wirtualne Nutanix AHV, obok już znanych ataków na VMware ESXi/Hyper-V.
W skrócie
Wejście: nadużycie urządzeń VPN (m.in. SonicWall, CVE-2024-40766), podatnych usług/urządzeń brzegowych, nie-MFA, spearphishing, hasła wyciekłe/wypryskiwane (password spraying).
Rozszerzenie celu: pierwsze potwierdzone szyfrowanie dysków Nutanix AHV (czerwiec 2025).
TTP: nltest do odkrywania domen, Impacket/wmiexec, zdalne narzędzia (AnyDesk/LogMeIn), wyłączanie EDR, BYOVD/terminowanie AV.
Skala zysków: ~244,17 mln USD do IX 2025 r. (zgłoszenia śledcze FBI).
Kontekst / historia / powiązania
Akira działa co najmniej od marca 2023 r., początkowo Windows + rozszerzenie .akira, potem Megazord (Rust, rozszerzenie .powerranges) oraz Akira_v2; cele na wielu kontynentach i sektorach (produkcja, edukacja, IT, zdrowie, finanse, F&A). Autorzy łączą Akirę z aliasami Storm-1567/Howling Scorpius/Punk Spider/Gold Sahara i możliwymi koneksjami do upadłej Conti.
Od połowy 2025 r. obserwowano kampanię przeciw SonicWall SSL VPN – potwierdzoną też przez CERT-y/branżę (ACSC/ASD, vendor SonicWall, analizy Darktrace/Arctic Wolf).
Analiza techniczna / szczegóły luki
Wejście (Initial Access)
VPN bez MFA i znane CVE w produktach sieciowych, w tym Cisco (np. CVE-2020-3259, CVE-2023-20269), oraz SonicWall CVE-2024-40766. Dodatkowo Veeam (CVE-2023-27532, CVE-2024-40711). Często password spraying (np. SharpDomainSpray), RDP, kradzież poświadczeń, a także SSH przez router z publicznym IP.
Przykładowe zapisy do detekcji (Sigma, logon VPN SonicWall – event nieudany/udany z nietypowego ASN/geo):
Częste użycie VBScript do wykonywania poleceń i automatyzacji.
Trwałość / Ruch rozpoznawczy
Tworzenie nowych kont domenowych (spotykana nazwa itadm), Kerberoasting, zrzut LSASS (Mimikatz/LaZagne), skanowanie (SoftPerfect/Advanced IP Scanner/NetScan), polecenia net oraz nltest /dclist, nltest /DOMAIN_TRUSTS.
Szybki „hunt” w Windows (PowerShell):
# Nowo utworzeni członkowie Domain Admins w 7d
Get-ADGroupMember "Domain Admins" |
ForEach-Object { Get-ADUser $_ -Properties whenCreated } |
Where-Object { $_.whenCreated -gt (Get-Date).AddDays(-7) } |
Select-Object Name, SamAccountName, whenCreated
# Artefakty net/nltest w PowerShell Operational (ID 4104/4103) i Security 4688
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 5000 |
Where-Object {$_.Message -match 'nltest|net.exe'}
Unikanie obrony / Lateral Movement
PowerTool + podatny sterownik (BYOVD) do zabijania procesów AV/EDR (m.in. wyłączenie Defendera), nadużycie AnyDesk/LogMeIn, Impacket wmiexec.py, odinstalowanie EDR przed szyfrowaniem.
Szyfrowanie / Wpływ na wirtualizację
Po ESXi/Hyper-V, czerwiec 2025: szyfrowanie dysków VM Nutanix AHV – istotna zmiana dla środowisk HCI.
Praktyczne konsekwencje / ryzyko
Urządzenia brzegowe (SonicWall) stają się „jednym kliknięciem” do sieci wewnętrznej – nawet z MFA (doniesienia o przejętych seedach OTP/artefaktach pozwalających omijać MFA). Uderza to w model „MFA-i-po-sprawie”.
Wirtualizacja: przejście z ESXi/Hyper-V na Nutanix AHV rozszerza powierzchnię ataku i podnosi koszt RTO/RPO przy incydencie.
Utrudniona detekcja przez nadużycie legalnych narzędzi, wyłączanie EDR i użycie Impacket w ruchu bocznym.
Rekomendacje operacyjne / co zrobić teraz
Natychmiast załataj i utwardź SonicWall (CVE-2024-40766), zresetuj poświadczenia SSL VPN, rozważ rotację/ponowną rejestrację sekretów OTP/MFA; zaktualizuj do najnowszego SonicOS 7.3.x, zastosuj zalecenia producenta.
Wymuś phishing-resistant MFA (FIDO2/WebAuthn) oraz blokady po wielu nieudanych próbach; ogranicz wskazówki haseł, nie wymuszaj zbyt częstych zmian (zgodnie z NIST), ale wymuś rotację po incydencie VPN.
Przykładowe zapory/SDN – ogranicz RDP/SMB/WMI do stref adminów:
# Linux nftables - blokuj SMB z podsieci użytkowników do serwerów
nft add rule inet filter forward ip saddr 10.20.0.0/16 ip daddr 10.30.10.0/24 tcp dport {445,139} drop
Różnice / porównania z innymi przypadkami
LockBit/ALPHV długo stawiały głównie na ESXi/Hyper-V; Akira jako jedna z pierwszych operacji potwierdzenie ataków na Nutanix AHV, co wymusza aktualizację playbooków IR/BCP dla HCI.
Akcent na SonicWall SSL VPN – rzadziej spotykany tak skoncentrowany wektor u konkurencyjnych grup w 2025 r.; zbieżne ostrzeżenia rządowe (ACSC) i vendor.
Podsumowanie / kluczowe wnioski
Brzeg (VPN) to główna brama – łataj i rotuj sekrety. 2) AHV jest już na celowniku – ćwicz odtwarzanie VM poza hipernadzorcą. 3) Detekcja TTP (Impacket/nltest/AnyDesk) i ochrona przed BYOVD muszą być obowiązkowym elementem. 4) Wdróż MFA odporne na phishing i egzekwuj najmniejsze uprawnienia. 5) Pobierz i wprowadź IOC z AA24-109A (STIX).
Źródła / bibliografia
FBI/CISA/DC3/HHS/EC3/NCSC-NL i in., #StopRansomware: Akira Ransomware – aktualizacja 13.11.2025 (AA24-109A). Zawiera TTP/IOC, MITRE ATT&CK i zalecenia.
CISA – strona poradnika AA24-109A (mirror + opis aktualizacji). (CISA)
ACSC/ASD – alert dot. aktywnej eksploatacji CVE-2024-40766 (SonicWall) i powiązania z Akirą. (Cyber.gov.au)
SonicWall – komunikat producenta nt. zagrożeń dla Gen7 i SSLVPN oraz działań naprawczych. (SonicWall)
BleepingComputer – wzmianka o szyfrowaniu Nutanix AHV przez Akirę (potwierdzenie trendu z AA24-109A). (BleepingComputer)
11–12 listopada 2025 r. Mozilla i Google opublikowały stabilne aktualizacje przeglądarek Firefox 145 oraz Chrome 142, które usuwają istotne podatności bezpieczeństwa.
Chrome 142.0.7444.162/.163 (Windows), .162 (macOS/Linux) naprawia błąd w silniku V8 sklasyfikowany jako „high” (CVE-2025-13042).
Firefox 145 łata 16 podatności, w tym 9 o wysokiej wadze, głównie w obszarach Graphics/WebGPU, WebAssembly i JS JIT; część błędów to problemy z warunkami brzegowymi i wyścigiem, a także zbiorcze błędy bezpieczeństwa pamięci (CVE-2025-13021…13027).
Dodatkowo Firefox 145 wprowadza rozszerzone mechanizmy anty-fingerprinting, które znacząco utrudniają śledzenie użytkowników.
W skrócie
Chrome 142: jedna poprawka bezpieczeństwa „high” w V8 (CVE-2025-13042). Aktualizacja jest niewielka, ale ważna.
Firefox 145: 16 łatek, z czego 9 „high”; pięć dotyczy WebGPU (warunki brzegowe), jedna to race condition w grafice, jedna podatność w WebAssembly, jedna JIT miscompilation, plus zbiorcze błędy bezpieczeństwa pamięci.
Prywatność: nowe zabezpieczenia Firefoksa przeciw fingerprintingowi (na starcie w trybach Private/ETP Strict), istotnie ograniczają unikatowość odcisku przeglądarki.
Kontekst / historia / powiązania
Firefox od kilku wersji intensywnie rozwija WebGPU oraz równolegle twarde zabezpieczenia prywatności (ETP, Total Cookie Protection, anti-fingerprinting). W wydaniu 145 te dwa wątki „spotykają się”: z jednej strony naprawy błędów renderera, z drugiej — kolejne warstwy utrudniające identyfikację urządzenia. Chrome cyklicznie dostarcza szybkie poprawki V8; nawet pojedyncza łatka „high” bywa krytyczna ze względu na ryzyko zdalnej eksploatacji przez złośliwy JS.
Analiza techniczna / szczegóły luki
Chrome 142 (V8)
CVE-2025-13042 – Inappropriate implementation in V8 (High): błąd implementacyjny w silniku JavaScript. Google ogranicza szczegóły do czasu szerokiego wdrożenia aktualizacji (standardowa praktyka), ale klasa ta często umożliwia DoS lub nawet remote code execution w kontekście renderera przy odpowiednio spreparowanym skrypcie. Wersje: 142.0.7444.162/.163 (Windows), .162 (macOS/Linux).
Firefox 145 (pakiet poprawek)
Najważniejsze elementy z MFSA 2025-87:
WebGPU / Graphics – incorrect boundary conditions (High):CVE-2025-13021, -13022, -13025 oraz dwa przypadki z potencjałem sandbox escape (CVE-2025-13023, -13026). Problemy z walidacją zakresów i granic buforów/tekstur mogą prowadzić do naruszenia pamięci.
Race condition w Graphics (High):CVE-2025-13012 — typowa klasa błędu deterministycznie trudna do reprodukcji, ale ryzykowna w kontekście równoległego przetwarzania grafiki.
WebAssembly (High):CVE-2025-13016 — nieprawidłowe warunki brzegowe w komponencie WebAssembly. Może skutkować niepoprawnymi odwołaniami do pamięci.
JS JIT miscompilation (High):CVE-2025-13024 — błąd kompilatora JIT może generować nieprawidłowy kod maszynowy, potencjalnie umożliwiając obejście mechanizmów bezpieczeństwa.
Memory safety bugs (High):CVE-2025-13027 — zbiorcza kategoria błędów bezpieczeństwa pamięci naprawiona w 145 (dotyczy też Thunderbird 145).
Uwaga: Mozilla i Google nie raportują na dziś potwierdzonych ataków „in the wild” dla wymienionych CVE, ale okno na odwrócenie łat (patch diffing) jest realne — szybka aktualizacja ma znaczenie.
Prywatność w Firefox 145
Nowe zabezpieczenia anty-fingerprinting standaryzują i/lub szumią część sygnałów identyfikacyjnych (m.in. rozdzielczość, czcionki, wskaźniki sprzętowe), obniżając odsetek unikatowych odcisków przeglądarki w testach Mozilli; startowo w Private Browsing i ETP Strict, z planem rozszerzeń.
Praktyczne konsekwencje / ryzyko
Ryzyko zdalne przez zawartość web: klasy V8/WebGPU/WebAssembly/JIT to typowy wektor przez złośliwy JS/WebGPU/WASM uruchamiany przy samej wizycie na stronie.
Escape’y z piaskownicy (CVE-2025-13023/-13026) zwiększają konsekwencje udanego ataku na renderer (potencjalnie dostęp do zasobów systemowych użytkownika).
Łatwość weaponizacji: po publikacji binarek i commitów rośnie ryzyko stworzenia PoC na bazie różnic w kodzie (diff). W praktyce okno kilku–kilkunastu dni to czas najwyższego ryzyka dla niezałatanych środowisk.
Rekomendacje operacyjne / co zrobić teraz
1) Pilna aktualizacja (end-user i fleet)
GUI:
Chrome: Menu → Help → About Google Chrome (uruchomi auto-update).
Enterprise: dystrybuuj preferencję poprzez policies.json/GPO (Preference/Policies). To ogranicza funkcjonalność WebGPU, lecz redukuje powierzchnię ataku z klas „incorrect boundary conditions”/„sandbox escape”. (Preferencja jest znana i używana do sterowania WebGPU).
Chrome: brak sensownego obejścia dla błędu w V8 poza szybką aktualizacją i twardymi zasadami przeglądania (uBO/NoScript, izolacja profili o podwyższonym ryzyku).
5) Monitoring / detekcja
EDR/SIEM: flaguj nowe procesy przeglądarki uruchamiane z nietypowymi argumentami, podejrzane child-processy (np. droppery spoza katalogów profilu), anomalia w bibliotekach GPU/ANGLE/WASM.
Hunt: krótkie okna czasowe wzrostu crashy w procesach renderera po wejściu na tę samą stronę mogą wskazywać na próby DoS/wykrywanie wersji.
Różnice / porównania z innymi przypadkami
Jedna „high” w Chrome vs. wiele „high” w Firefox: tu Firefox ma większą liczbę łatek, ale to odzwierciedla intensywny rozwój WebGPU/JIT — komponentów historycznie „wrażliwych”. Nie oznacza automatycznie, że Firefox jest „mniej bezpieczny”, raczej że zwiększono pokrycie fuzzingiem i twardo łata się powierzchnię ataku.
Prywatność: Firefox 145 przynosi wymierne wzmocnienia anty-fingerprinting (niedostępne w takim kształcie w Chrome), co dla organizacji privacy-by-design ma realną wartość.
Podsumowanie / kluczowe wnioski
Zaktualizuj natychmiast do Chrome 142 i Firefox 145; nawet pojedyncza łatka V8 „high” jest krytyczna operacyjnie.
Firefox 145 zamyka szereg luk w WebGPU/WASM/JIT; dwie z nich mają potencjał sandbox escape — to ważny powód do szybkiego rollout’u.
Dodatkowy plus: lepsza prywatność w Firefox 145 dzięki nowym zabezpieczeniom anty-fingerprinting (na starcie w Private/ETP Strict).
Źródła / bibliografia
Chrome Releases – Stable Channel Update for Desktop (11 listopada 2025): wersje i CVE-2025-13042. (Chrome Releases)
Mozilla Foundation Security Advisory MFSA 2025-87 – Security Vulnerabilities fixed in Firefox 145 (lista CVE). (Mozilla)
Ivanti i Zoom opublikowały aktualizacje bezpieczeństwa usuwające szereg luk o wysokiej ważności. W Ivanti Endpoint Manager (EPM) załatano m.in. podatności umożliwiające zapis/wykreowanie dowolnych plików, eskalację uprawnień oraz — w niektórych scenariuszach — zdalne wykonanie kodu. Zoom opublikował dziewięć biuletynów, w tym trzy luki o wysokiej ważności w klientach mobilnych oraz VDI dla Windows (eskalacja uprawnień), a także kilka średniej ważności (ujawnienie informacji, XSS).
W skrócie
Ivanti EPM: trzy istotne CVE — CVE-2025-9713 (path traversal → RCE), CVE-2025-11622 (insecure deserialization → RCE) i CVE-2025-10918 (domyślne, zbyt szerokie uprawnienia → dowolny zapis plików / EoP). Dotyczy wersji przed 2024 SU4. Brak sygnałów o exploitach „in the wild”.
Zoom: dziewięć biuletynów; luki o wysokiej ważności to CVE-2025-62484 (klienci Zoom Workplace – złożoność wyrażeń regularnych → EoP), CVE-2025-64741 (Android – nieprawidłowe autoryzacje → EoP) i CVE-2025-64740 (VDI Client for Windows – weryfikacja podpisu kryptograficznego → EoP).
Kontekst: dwie z luk Ivanti (CVE-2025-9713 i CVE-2025-11622) nagłośniono już w październiku po tym, jak ZDI ujawniło 13 niezałatanych problemów w EPM; Ivanti obiecało poprawki na listopad i je dostarczyło.
Kontekst / historia / powiązania
W październiku 2025 Trend Micro Zero Day Initiative (ZDI) opublikowało serię 13 poradników dotyczących 0-dayów w Ivanti EPM (głównie RCE i EoP), eskalując sprawę z powodu opóźnień w łataniu. Ten kontekst tłumaczy, dlaczego listopadowy pakiet Ivanti ma tak „skondensowany” charakter i obejmuje wcześniej ujawnione podatności.
Równolegle Zoom w 2025 roku miał już kilka głośnych poprawek (m.in. krytyczna luka CVE-2025-49457 w kliencie Windows w sierpniu). Najnowszy zestaw z 11 listopada 2025 r. porządkuje bezpieczeństwo nowych aplikacji Zoom Workplace (w tym VDI i mobile).
Analiza techniczna / szczegóły luki
Ivanti Endpoint Manager (EPM)
CVE-2025-9713 – Path Traversal → możliwe RCE Słabość walidacji ścieżek umożliwia zapisywanie/odczyt plików poza katalogami docelowymi. W połączeniu z innymi wektorami może prowadzić do zdalnego wykonania kodu w kontekście usługi/agentów EPM. Dotyczy wydań przed 2024 SU4.
CVE-2025-11622 – Insecure Deserialization → RCE Niezaufane obiekty mogą zostać zdeserializowane po stronie serwera/agentów, co pozwala atakującemu wstrzyknąć ładunek prowadzący do wykonania kodu.
CVE-2025-10918 – Insecure Default Permissions → dowolny zapis plików / EoP Domyślne uprawnienia agenta EPM umożliwiają nadpisanie lub stworzenie plików systemowych przez lokalnego, uwierzytelnionego użytkownika i „podniesienie” się do konta o wyższych uprawnieniach. Ivanti wskazuje, że nie ma dowodów na aktywne wykorzystanie.
Uwaga operacyjna: Dwie pierwsze luki (9713, 11622) są kontynuacją październikowych ujawnień ZDI i zostały oficjalnie załatane w gałęzi 2024 SU4, zgodnie z zapowiedzią z października.
Zoom (Workplace / VDI / Mobile)
CVE-2025-62484 – „Inefficient Regular Expression Complexity” → EoP Wadliwy parser (reguły regex) może powodować nadmierne zużycie zasobów i prowadzić do scenariuszy eskalacji uprawnień (np. gdy komponent działa z wyższymi uprawnieniami). Poprawka dostępna w Zoom Workplace Clients 6.5.10 i nowszych.
CVE-2025-64741 – Improper Authorization Handling (Android) → EoP Błędne egzekwowanie autoryzacji w aplikacji mobilnej Zoom na Androida może umożliwić lokalnemu atakującemu uzyskanie wyższych uprawnień w aplikacji.
CVE-2025-64740 – Improper Verification of Cryptographic Signature (VDI for Windows) → EoP Niewystarczająca weryfikacja podpisów kryptograficznych w Zoom Workplace VDI Client for Windows umożliwia manipulację procesem instalacji/aktualizacji i wykonanie kodu z uprawnieniami systemowymi. Wymaga lokalnego dostępu, ale skutki są poważne (SYSTEM/Administrator).
Praktyczne konsekwencje / ryzyko
Ivanti EPM
Ryzyko trwałej persystencji przez droppery/serwisy, jeśli atakujący uzyska możliwość zapisu w ścieżkach systemowych (CVE-2025-10918).
RCE po złożeniu kilku primitywów (path traversal + niebezpieczna deserializacja) — szczególnie groźne w środowiskach, gdzie serwer EPM zarządza tysiącami agentów.
Potencjał lateral movement (dystrybucja payloadu jako „zadanie” EPM).
Zoom
Eskalacja uprawnień lokalnych na stacjach VDI/VDI-pluginach i endpointach użytkowników (Windows/macOS/Linux), co często wystarcza do kradzieży danych uwierzytelniających, dodania konta admina lub wdrożenia narzędzi LPE → C2.
Luki średniej ważności (m.in. ujawnienie informacji, XSS) mogą ułatwić post-exploitation, fingerprinting systemu i przygotowanie ataku ukierunkowanego.
Rekomendacje operacyjne / co zrobić teraz
1) Patchowanie priorytetowe
Ivanti EPM
Aktualizuj do EPM 2024 SU4 (lub nowszej) na serwerach i agentach. Zgodnie z komunikatem listopadowym Ivanti — brak dowodów na aktywne wykorzystanie, ale wektor jest poważny.
Zoom
Zaimplementuj wersje wskazane w biuletynach: Workplace Clients ≥ 6.5.10, VDI Client for Windows (zestaw wersji naprawczych wg ZSB-25042), Android/iOS zgodnie z ZSB. Zaplanuj wymuszoną aktualizację w MDM/Intune/Jamf.
2) Kontrole detekcyjne (przykłady)
Windows – polowanie na nietypowe zapisy w ścieżkach systemowych (EPM/LPE):# Wyszukaj ostatnie 48h modyfikacji krytycznych plików przez procesy EPM/niepodpisane Get-WinEvent -LogName Security -FilterHashtable @{Id=4663; StartTime=(Get-Date).AddHours(-48)} | Where-Object { $_.Properties[8].Value -match 'C:\\Windows\\(System32|SysWOW64)|C:\\ProgramData' } | Where-Object { $_.Properties[5].Value -match 'LDMS|EPM|Ivanti|unknown' } | Select TimeCreated, @{n="Obj";e={$_.Properties[6].Value}}, @{n="Proc";e={$_.Properties[1].Value}}
EDR/SIEM – podejrzane uruchomienia instalatorów Zoom z nietypowych lokalizacji (CVE-2025-64740):
Reguła (Sigma-like): process_name: (ZoomVDI*.msi OR Zoom*.exe) AND parent: (msiexec.exe) AND image_path NOT IN (%ProgramFiles%, %SystemRoot%) AND signature_status: "invalid" OR "missing".
Wymuś Least Privilege dla kont serwisowych EPM; izoluj katalogi robocze agentów (ACL z wyraźnym „deny” dla zwykłych użytkowników).
Segmentacja sieci i TLS mTLS między serwerem EPM a agentami.
Włącz dodatkowe walidacje ładunków w zadaniach dystrybucji (hashy, podpisów).
Zoom
Zablokuj uruchamianie instalatorów z katalogów tymczasowych/Użytkownika (AppLocker/WDAC, SRP).
W VDI kontroluj golden image, podpisy i łańcuch aktualizacji; integruj z MDM/EMM dla mobile.
4) Reagowanie / weryfikacja ekspozycji
Sprawdź, czy w organizacji występują wersje EPM < 2024 SU4 oraz klienci Zoom < 6.5.10/stare VDI. Zdefiniuj SLA: krytyczne systemy – 72 h; reszta – 7 dni.
Przegląd logów z ostatnich 30 dni pod kątem: nietypowego zapisu plików w katalogach systemowych, anomalii instalatora Zoom, nagłych restartów usług EPM.
Różnice / porównania z innymi przypadkami (dla studentów i SOC)
EPM vs. EPMM/Neurons: opisywane tu luki dotyczą Endpoint Manager (on-prem), a nie (głośnych w przeszłości) podatności w Endpoint Manager Mobile (EPMM) wykorzystywanych „na żywo”. Mechanika ataku i powierzchnia są inne.
Zoom „krytyczne” z sierpnia vs. „wysokie” z listopada: w sierpniu mieliśmy CVE-2025-49457 (krytyczne, untrusted search path, Windows), obecny zestaw to głównie lokalne EoP i problemy integralności (wysoka waga, ale mniejsza zdalność).
Podsumowanie / kluczowe wnioski
Patch teraz: EPM do 2024 SU4; Zoom do wersji z biuletynów z 11.11.2025 (Workplace ≥ 6.5.10, odpowiednie wydania VDI/Android).
