Archiwa: Linux - Strona 34 z 42

CVE-2014-0160 — „Heartbleed” (OpenSSL TLS/DTLS Heartbeat memory disclosure)

TL;DR

Heartbleed to krytyczna luka w OpenSSL 1.0.1–1.0.1f (oraz 1.0.2‑beta/beta1), w implementacji rozszerzenia TLS/DTLS Heartbeat (RFC 6520). Błędny brak kontroli długości powoduje odczyt do 64 KB pamięci procesu na żądanie, co umożliwia wyciek kluczy prywatnych, haseł, tokenów i ciasteczek sesyjnych — bez śladów w standardowych logach. Naprawa: OpenSSL 1.0.1g lub kompilacja z -DOPENSSL_NO_HEARTBEATS, plus rotacja kluczy/certyfikatów i reset sesji/haseł. CVSS v3.1: 7.5 (HIGH).

Krótka definicja techniczna

CVE‑2014‑0160 to buffer over-read w funkcjach przetwarzających komunikaty Heartbeat w OpenSSL (TLS i DTLS). Złośliwy pakiet żąda odesłania większej liczby bajtów niż faktyczny payload, co skutkuje ujawnieniem fragmentu pamięci procesu serwera/klienta. Błąd dotyczy OpenSSL 1.0.1 (do 1.0.1f włącznie) i został naprawiony w 1.0.1g (07.04.2014).

Gdzie występuje / przykłady platform

Linux/Unix: usługi HTTPS (Apache/Nginx), proxy, poczta (IMAPS/POP3S/SMTPS), VPN (np. OpenVPN), serwery aplikacyjne — jeśli linkują do OpenSSL 1.0.1*. Przykładowe dystrybucje z podatnymi pakietami: Debian Wheezy, Ubuntu 12.04.4, CentOS 6.5, FreeBSD 10.0 itd.
Urządzenia/IoT/appliance: część routerów/telefonów VoIP/przełączników używających OpenSSL 1.0.1* (stan historyczny).
Windows/AD: IIS/Schannel nie były podatne; ryzyko dotyczy aplikacji na Windows, które samodzielnie używały podatnego OpenSSL.
Chmury: własne instancje/obrazy z OpenSSL 1.0.1*, komponenty kontenerowe; w AWS/Azure/GCP po stronie klientów/serwerów, a także wszędzie tam, gdzie terminacja TLS odbywa się na oprogramowaniu z OpenSSL 1.0.1*. (Do detekcji przydają się logi IDS oraz logi operacji na certyfikatach, np. ACM/CloudTrail).

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

Rozszerzenie TLS/DTLS Heartbeat (RFC 6520) pozwala okresowo „pingować” drugą stronę bez renegocjacji. W podatnych wersjach OpenSSL błędnie ufano deklarowanej długości payloadu. Napastnik wysyła HeartbeatRequest z małym payloadem i zawyżoną długością; OpenSSL odsyła żądaną liczbę bajtów, dogaszając brakujące bajty z pamięci procesu (do 64 KB na żądanie). Atak można wykonywać wielokrotnie, aż do pozyskania wartościowych artefaktów (klucze prywatne X.509, hasła, tokeny sesji). Naprawa w 1.0.1g dodała kontrolę zakresu i odrzucanie niepoprawnych żądań. Skuteczność ataku wynika z: (1) prostoty (brak uwierzytelnienia), (2) braku śladów w typowych logach aplikacji, (3) wysokiej wartości wycieku (tajemnice kryptograficzne).

Artefakty i logi (SOC)

Źródło/log	Pole/artefakt	Wzorzec/anomalia	Uwagi
IDS (Suricata/Snort)	`alert.signature` / `event.signature`	„Heartbleed” / „OpenSSL TLS heartbeat read overrun” / „CVE‑2014‑0160”	SIDs Snort VRT: 30510–30517 (GID 1). Najpewniejszy sygnał.
Zeek	`notice` / skrypt `ssl/heartbleed`	Alerty dot. niepoprawnych rekordów Heartbeat	Wsparcie dodane 2014‑04‑08.
ALB/ELB (AWS) – Connection/Access Logs	TLS pola: protokół, cipher, status/`connection_status`	Piki błędów/nieudanych handshake (pośrednio); korelować z alarmami IDS	Do analizy zmian wzorców TLS, nie wykrywa samego Heartbleed.
CloudTrail (AWS ACM/IAM/ACM‑PCA)	`eventName`	`ImportCertificate`, `RequestCertificate`, `UpdateServerCertificate`, `DeleteServerCertificate`	Ślad rotacji certyfikatów po łataniu/kompromitacji.
Web serwer (Apache/Nginx)	error/access	Nietypowe resety połączeń, wzrost 4xx/5xx (wtórnie)	Korelacja pomocnicza; zapis TLS payloadu brak. [Uzupełniające]
Windows EID	—	—	Schannel/IIS niepodatne; brak natywnych EID dla samej luki. [N/D]
K8s audit	`patch/update` na `Deployment/Pod`	Rolling update obrazów po aktualizacji OpenSSL	Artefakt zmian remediacyjnych, nie wykrycia. [Ogólne]

Detekcja (praktyczne reguły)

Sigma (IDS → SIEM)

title: Heartbleed (CVE-2014-0160) Detected by IDS
id: 1e1a5bb3-9e6f-45f0-9d7e-ids-heartbleed
status: stable
description: Alerty IDS/IPS wskazujące na próby/wykrycia ataku Heartbleed.
references:
  - https://nvd.nist.gov/vuln/detail/CVE-2014-0160
  - https://blog.snort.org/2014/04/sourcefire-vrt-certified-snort-rules_8.html
  - https://zeek.org/2014/04/detecting-the-heartbleed-bug-using-bro/
logsource:
  product: network
  service: ids
detection:
  selection:
    signature|contains:
      - 'Heartbleed'
      - 'heartbeat read overrun'
      - 'CVE-2014-0160'
    # alternatywnie dla Suricata EVE:
    alert.signature|contains:
      - 'Heartbleed'
      - 'heartbeat read overrun'
  condition: selection
fields:
  - src_ip
  - dest_ip
  - dest_port
  - signature
  - classification
falsepositives:
  - Rzadkie; możliwe skanery audytowe (np. nmap ssl-heartbleed)
level: high
tags:
  - attack.T1190
  - attack.T1212

(Źródła reguł i nazewnictwa sygnatur: Snort VRT SIDs 30510–30517; Zeek script ssl/heartbleed.)

Splunk (SPL)

(index=ids (sourcetype=suricata OR sourcetype=snort) OR source="*eve.json")
| spath
| eval sig=coalesce('alert.signature','signature')
| search sig="*Heartbleed*" OR sig="*heartbeat read overrun*" OR sig="*CVE-2014-0160*"
| stats earliest(_time) as first latest(_time) as last values(dest_port) count by src_ip dest_ip sig
| convert ctime(first) ctime(last)

KQL (Microsoft Sentinel / Log Analytics)

Opcja A – CommonSecurityLog (appliance IDS):

CommonSecurityLog
| where DeviceVendor in~ ("Snort","Suricata")
| where Message has_any ("Heartbleed","heartbeat read overrun","CVE-2014-0160")
| summarize cnt=count(), first=min(TimeGenerated), last=max(TimeGenerated) by SourceIP, DestinationIP, DestinationPort, Message

Opcja B – własna tabela SuricataEve_CL:

SuricataEve_CL
| where event_type_s == "alert"
| where alert_signature_s has_any ("Heartbleed","heartbeat read overrun","CVE-2014-0160")
| summarize cnt=count(), first=min(TimeGenerated), last=max(TimeGenerated) by src_ip_s, dest_ip_s, dest_port_d, alert_signature_s

CloudTrail Lake (AWS) — ślad rotacji certyfikatów po incydencie

SELECT eventTime, eventSource, eventName,
       userIdentity.accountId AS account, userIdentity.type AS actorType,
       requestParameters.certificateArn AS certArn
FROM   aws_cloudtrail_logs
WHERE  eventSource IN ('acm.amazonaws.com','iam.amazonaws.com','acm-pca.amazonaws.com')
  AND  eventName   IN ('ImportCertificate','RequestCertificate','UpdateServerCertificate','DeleteServerCertificate')
  AND  eventTime BETWEEN from_iso8601_timestamp('2025-11-01T00:00:00Z') AND from_iso8601_timestamp('2025-11-08T23:59:59Z')
ORDER BY eventTime DESC;

(Dokumentacja CloudTrail/ACM potwierdza logowanie tych akcji.)

Elastic / EQL / Kibana KQL

EQL:

network where event.module == "suricata" and event.kind == "alert" and
 (suricata.eve.alert.signature : "*Heartbleed*" or
  suricata.eve.alert.signature : "*heartbeat read overrun*")

Kibana KQL:

event.module:"suricata" and event.kind:"alert" and suricata.eve.alert.signature:("*Heartbleed*" OR "*heartbeat read overrun*" OR "*CVE-2014-0160*")

Heurystyki / korelacje (co łączyć)

Korelacja IDS ↔ rotacja certyfikatów: alerty Heartbleed na IP serwera + w ciągu 24–72 h zdarzenia ImportCertificate/UpdateServerCertificate (CloudTrail) ⇒ potwierdzenie remediacji lub panic‑rotacji.
Anomalie ruchu TLS: wzrost krótkich połączeń do 443/IMAPS/SMTPS z tej samej klasy adresów podczas skanów/eksfiltracji. [wspierające]
Ryzyko wtórne: po wycieku klucza prywatnego — podszywanie się (MITM) i odszyfrowanie zarejestrowanego ruchu bez PFS; korelować z wymianą certyfikatów i wymuszaniem PFS.

False positives / tuning

Fałszywe pozytywy są rzadkie — sygnatury na poziomie TLS są precyzyjne. Najczęstsze przypadki: testy nmap ssl-heartbleed lub skanery zgodności. Whitelistuj źródła skanerów.
Brak alertu ≠ brak ataku — historycznie ataki nie musiały zostawiać śladów w logach aplikacyjnych; rely na IDS/Zeek.

Playbook reagowania (IR)

Izolacja & inwentarz: zidentyfikuj hosty z OpenSSL 1.0.1–1.0.1f/1.0.2‑beta*.
Łatowanie: aktualizacja do OpenSSL 1.0.1g lub nowszej gałęzi; alternatywnie rekompilacja z -DOPENSSL_NO_HEARTBEATS (krótkoterminowo).
Rotacja kryptografii: wygeneruj nowe klucze prywatne, ponownie wydaj certyfikaty, unieważnij stare (CRL/OCSP); w chmurze weryfikuj ślad w CloudTrail (ACM/IAM/ACM‑PCA).
Unieważnienie sesji: wymuś re‑logowanie użytkowników, rotuj tokeny/cookies.
Reset haseł: jeśli wyciek dotyczył serwisów z authem — wymuś zmianę.
Hunting: przeszukaj IDS/Zeek pod kątem wzorców Heartbleed i anomalii TLS; koreluj ze zmianami certyfikatów.
Komunikacja: zgodnie z wymogami regulacyjnymi (np. healthcare — przykłady incydentów niżej).

Przykłady z kampanii / case studies

Canada Revenue Agency (CRA) — kradzież 900 numerów SIN w oknie 6h tuż po ujawnieniu luki; zatrzymano podejrzanego.
Mumsnet (UK) — reset ~1,5 mln haseł po incydencie powiązanym z Heartbleed.
Community Health Systems (USA) — wyciek danych 4,5 mln pacjentów; wektor przypisano exploitacji Heartbleed.
Konsekwencje systemowe — Heartbleed przyspieszył powstanie Core Infrastructure Initiative (funding krytycznych OSS).

Lab — przykładowe komendy

Wyłącznie w kontrolowanym środowisku i na własnych hostach.
Celem jest weryfikacja detekcji, nie ofensywa.

Uruchomienie podatnego serwisu (Docker):

# przykładowy obraz demo (podatny OpenSSL)
docker run -d --name hb -p 8443:443 vulnerables/cve-2014-0160

Test wykrycia (Nmap NSE – bezpieczne sprawdzenie):

nmap -p 8443 --script ssl-heartbleed 127.0.0.1

(Nmap skrypt ssl-heartbleed jednoznacznie wskazuje podatność.)

IDS/Zeek:

Włącz reguły ET/Suricata lub Snort VRT (SIDs 30510–30517).
Zeek: załaduj skrypt policy/protocols/ssl/heartbleed.bro (obecnie w master).

Mapowania (Mitigations, powiązane techniki)

Mitigations (ATT&CK Enterprise):

M1051 Update Software — szybkie łatowanie (OpenSSL ≥1.0.1g).
M1031 Network Intrusion Prevention — IDS/IPS z sygnaturami Heartbleed.
(Dodatkowo) M1048 Application Isolation and Sandboxing, M1050 Exploit Protection — ograniczenie skutków.

Powiązane techniki ATT&CK:

T1190 Exploit Public-Facing Application — wektor wejścia.
T1212 Exploitation for Credential Access — pozyskanie sekretów.
T1210 Exploitation of Remote Services — ruch boczny po kompromitacji.

Źródła / dalsza lektura

NVD — opis i CVSS v3.1: 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N). (NVD)
Heartbleed.com — zakres wersji i kontekst operacyjny. (heartbleed.com)
RFC 6520 — TLS/DTLS Heartbeat Extension. (RFC Editor)
OpenSSL 1.0.1g — release notes (fix CVE‑2014‑0160). (slackware.cs.utah.edu)
CISA alert — charakterystyka luki i wyciek porcji 64 KB. (CISA)
Snort/Suricata — sygnatury wykrywające Heartbleed (SIDs 30510–30517) + dokumentacja aktualizacji reguł. (Snort Blog)
Zeek — detekcja Heartbleed. (Zeek)
AWS — CloudTrail/ACM (logowanie operacji na certyfikatach) i Connection Logs ALB. (AWS Documentation)
Case studies: CRA, CHS, Mumsnet. (TIME)

Checklisty dla SOC / CISO

SOC (operacyjnie):

Włączone reguły IDS/IPS na „Heartbleed” (Snort/Suricata/Zeek).
Dashbord/alert: korelacja IDS Heartbleed ↔ CloudTrail Import/UpdateServerCertificate.
Monitoring anomalii TLS (krótkie połączenia, skoki błędów).
Procedura natychmiastowej rotacji certyfikatów/kluczy i unieważniania sesji.

CISO (strategicznie):

Potwierdzona eliminacja OpenSSL 1.0.1* w środowisku (obrazy bazowe/kontenery).
Wymuszenie PFS i polityki silnych zestawów szyfrów.
Testy podatności (skan nmap NSE) — wyłącznie autoryzowane.
Plan komunikacji i notyfikacji (zgodność regulacyjna); lekcje z incydentów (CRA/CHS).

Uwaga końcowa: Heartbleed to historyczna luka, ale nadal pojawia się w długowiecznych obrazach/urządzeniach. Minimalna obrona to łatanie (M1051), IDS/IPS (M1031) oraz rotacja kryptografii po każdym podejrzeniu ekspozycji.

Wykrywanie Honeypotów – Metody, Narzędzia, Obrona

Honeypoty też mają odciski palców

Honeypoty (komputerowe wabiki) są potężnym narzędziem obrony – przyciągają atakujących niczym cyber-pułapki, dając wgląd w ich techniki. Nic dziwnego, że agresorzy starają się je wykrywać i omijać. W tym artykule przyjrzymy się technikom honeypot detection, czyli metodom rozpoznawania czy dany system to prawdziwy cel, czy sprytnie zastawiona pułapka. Omówimy fingerprinting aktywny i pasywny, zdradliwe sygnały (banery, błędy protokołów, cechy stosu TCP/IP, certyfikaty TLS), narzędzia wykorzystywane zarówno przez red team (atakujących) jak i blue team (obrońców) oraz metody obrony honeypotów przed dekonspiracją. Przygotujcie się na techniczne szczegóły, przykłady z narzędzi w stylu curl/nmap oraz konkretne porady gotowe do wdrożenia w labie i produkcji.

Czytaj dalej

CVE‑2025‑31133 – luka w runc poprzez nadużycie maskedPaths i wyścig montowania

TL;DR

CVE‑2025‑31133 to luka w runc umożliwiająca ucieczkę z kontenera poprzez nadużycie maskedPaths i wyścig montowania. Skutkiem jest możliwość zapisu do wybranych plików /proc hosta w trakcie startu kontenera. Traktujemy to jako zachowanie odpowiadające technice ATT&CK T1611 (Escape to Host). Łatki: runc 1.2.8, 1.3.3 (i 1.4.0‑rc.3). W chmurze dostawcy (np. AWS) odnotowali brak ryzyka „cross‑tenant” i wypchnęli zaktualizowane obrazy/runtime. Priorytet: wysoki – pilne aktualizacje + detekcje operacji na /proc i anomalii montowania.

Krótka definicja techniczna

CVE‑2025‑31133: luka w runc (runtime OCI) polegająca na niewystarczającej weryfikacji źródła bind‑mountu używanego do maskowania plików (maskedPaths). Podmiana /dev/null na dowiązanie symboliczne do wybranego pliku w procfs pozwala doprowadzić do RW‑mountu docelowego pliku /proc i obejść izolację kontenera, co praktycznie realizuje T1611 Escape to Host.

Gdzie występuje / przykłady platform

Linux hosty używające: containerd, CRI‑O, Docker (pod spodem runc). Dotyczy środowisk bare‑metal i VM.
Kubernetes (K8s): AKS/AKS‑on‑prem, EKS, GKE oraz własne klastry – podczas tworzenia/uruchamiania podów/kontenerów.
AWS: EKS/ECS – AWS wydał biuletyn, zaktualizował AMI/ECS i wskazał brak ryzyka cross‑customer.
Azure/GCP: klastry AKS/GKE (runtime z runc); aktualizacje dystrybucyjne. [Brak specyficznej luki w usługach pakietu M365/AD].
ESXi/Windows: sama luka dotyczy runc (Linux), natomiast T1611 formalnie obejmuje również VM/ESXi/Windows jako platformy techniki na poziomie ATT&CK (nie w kontekście tego konkretnego CVE).

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

T1611 – Escape to Host opisuje działania prowadzące do wyjścia poza izolację kontenera/VM w celu uzyskania dostępu do hosta. W przypadku CVE‑2025‑31133 vektor opiera się o błąd w maskedPaths (OCI). W czasie startu kontenera runc bind‑mountuje /dev/null na wybrane ścieżki, by je „zamaskować”. Brak twardej weryfikacji inoda /dev/null umożliwiał podstawienie symlinku do kontrolowanego pliku /proc i spowodowanie RW‑mountu tego pliku – co otwierało możliwość zapisu do wybranych kontrolnych plików procfs i eskalacji poza granice kontenera. To wpisuje się w katalog przypadków, w których nadużycie montowań/namespace’ów prowadzi do ucieczki (T1611).

Artefakty i logi (SOC)

Warstwa / źródło	Co obserwować	Przykładowe pola / zdarzenia	Uwaga
Linux auditd / eBPF	Syscall mount z opcją MS_BIND na ścieżki pod /proc//dev podczas startu kontenera; próby open/write do /proc/	`SYSCALL=mount`, rekordy `PATH` z `name=/proc/...`; `exe=/usr/bin/runc` / `containerd-shim`; eBPF: `mount`, `openat(O_WRONLY)` na `/proc/sys/*`	Wysoka wartość korelacji z chwilą tworzenia kontenera
Journald / daemon	Logi runc/containerd/CRI‑O przy tworzeniu zadań, błędy montowania	`runc[...]`, `containerd: CreateTask`, `crio: Running container`	Włącz poziom info/debug w labie
Kubernetes Audit	`verb=create/update` dla `pods`/`deployments` + podejrzane `securityContext` lub `hostPath` do `/proc`, `/sys`, `/dev`	`requestObject.spec.volumes[].hostPath.path`, `securityContext.privileged=true`, `hostPID=true`	Heurystyka – nie każda taka konfiguracja to atak
CloudTrail (ECS)	`RegisterTaskDefinition`, `RunTask`, `UpdateService` ze znacznikami `privileged=true`, host-mounty do `/proc`/`/dev`, `readonlyRootFilesystem=false`	`eventSource=ecs.amazonaws.com`, `requestParameters.containerDefinitions`	Dla EKS użyj K8s Audit Logs / CloudWatch logów kontrol‑plane
K8s Node / cgroup	Nietypowe procesy poza namespaces, nowe monty na hoście tuż po starcie poda	`/proc/self/mountinfo`, `nsenter` ślady, wpisy w `dmesg`	Wspomagaj eBPF do obserwacji

Źródła ogólne dot. T1611 (platformy, taktyka, detekcje) oraz CVE‑2025‑31133 (opis i wydania) potwierdzają powyższe artefakty.

Detekcja (praktyczne reguły)

Sigma — Linux auditd (wykrycie podejrzanych bind‑mountów do /proc w trakcie startu kontenera)

title: Suspicious Bind-Mount To /proc During Container Start (CVE-2025-31133 aligned)
id: 2dc7b2d7-7c3a-4f1c-9e4c-31133a01
status: experimental
description: Detects runc/containerd bind-mounts targeting /proc paths (maskedPaths abuse pattern)
logsource:
  product: linux
  service: auditd
detection:
  sel_syscall:
    syscall: mount
  sel_bind:
    a2|contains: "MS_BIND"
  sel_path_proc:
    name|startswith: "/proc/"
  sel_proc:
    exe|endswith:
      - "/runc"
      - "/containerd-shim"
      - "/crio"
  condition: sel_syscall and sel_bind and sel_path_proc and sel_proc
fields:
  - exe
  - comm
  - pid
  - uid
  - name
  - cwd
falsepositives:
  - legalne agenty monitoringu montujące /proc read-only (np. node-exporter)
level: high
tags:
  - attack.t1611

Uwaga: składnia pól a*/name jest zależna od formatu eksportu auditd; w razie potrzeby dostosuj parser. Reguła jest heurystyczna – celem jest sygnał do korelacji. (Patrz też ATT&CK Detection Strategy for Escape to Host).

Splunk (Linux auditd / journald)

(index=linux_audit OR index=syslog)
| eval msg=coalesce(_raw,message)
| regex msg="(SYSCALL=mount| mount\\s)"
| search msg="/proc/" msg="bind" (msg="/usr/bin/runc" OR msg="containerd-shim" OR msg="crio")
| stats count min(_time) as first_seen max(_time) as last_seen by host, process, pid, user
| where count>0

KQL (Azure, AKS – Kubernetes Audit)

KubeAudit
| where verb in ("create","update")
| where objectRef.resource in ("pods","deployments","daemonsets")
| where tostring(requestObject.spec.securityContext.privileged) =~ "true"
   or tostring(requestObject.spec.hostPID) =~ "true"
   or array_length(requestObject.spec.volumes) > 0
| extend hostPath = pack_array(requestObject.spec.volumes)
| where tostring(hostPath) has_any ("/proc","/sys","/dev")
| project TimeGenerated, userAgent, user=username, objectRef, requestObject

(Por. matryca Containers i detekcje T1611).

CloudTrail (AWS CloudWatch Logs Insights – ECS)

fields @timestamp, eventName, userIdentity.arn, requestParameters
| filter eventSource="ecs.amazonaws.com"
| filter eventName in ["RegisterTaskDefinition","RunTask","UpdateService"]
| filter requestParameters like /"privileged":\s*true/ 
    or requestParameters like /"readonlyRootFilesystem":\s*false/
    or requestParameters like /\/proc|\/dev/
| sort @timestamp desc

(AWS doręczył zaktualizowane AMI/zmiany w ECS – mimo to monitoruj definicje zadań).

Elastic / EQL (Linux – zapisy do /proc/sys z przestrzeni kontenera)

file where event.type == "change" and
  file.path like "/proc/sys/%" and
  process.name not in ("systemd-sysctl","sysctl") and
  process.executable in ("/usr/bin/runc","/usr/bin/python3","/usr/bin/bash","/bin/bash","/usr/bin/sh")

(Wspiera korelację z innymi sygnałami T1611).

Heurystyki / korelacje

Łańcuch zdarzeń: Pod/Task create ⟶ nietypowe monty /proc//dev ⟶ zapis do /proc/sys/* ⟶ procesy na hoście poza namespaces. Korelować w oknie ±60 s od startu kontenera.
Konfiguracja ryzykowna: privileged=true, hostPID=true, hostPath do / lub /proc. To nie jest exploit sam w sobie, ale zwiększa powierzchnię ataku.
U dostawców chmurowych: sprawdzaj automatyczne roll‑outy AMI/agentów runtime; brak „cross‑tenant” ≠ brak ryzyka węzła.

False positives / tuning

Agenty monitoringu (Node Exporter, Falco, EDR dla K8s) montujące /proc ReadOnly.
Zadania administracyjne/serwisowe (diagnoza jądra) mogą chwilowo dotykać mount//proc/sys.
Tuning: whitelista namespace’ów (kube-system, monitoring), obrazy podpisane, etykiety DaemonSet’ów, procesy znanych agentów; thresholding na liczbę i typ modyfikowanych plików /proc.

Playbook reagowania (IR)

Cel: szybkie odseparowanie ryzyka, walidacja wersji runc, aktualizacja oraz łowienie śladów ewentualnego wyjścia na hosta.

Triaga i izolacja

Zidentyfikuj node z alertu; na K8s: kubectl cordon <node> && kubectl drain <node> --ignore-daemonsets --delete-emptydir-data
Wstrzymaj harmonogramowanie nowych zadań (ECS deployment pause / K8s scale 0 dla krytycznych workloadów).

Walidacja wersji runtime

runc --version || rpm -q runc || dpkg -l | grep -E '^ii\s+runc'
containerd --version && crictl --version

Sprawdź czy ≥ 1.2.8/1.3.3 (lub 1.4.0‑rc.3).

Łowy (host)

Przejrzyj świeże monty: grep proc /proc/self/mountinfo
Szukaj zapisów do /proc/sys/* w ostatnich minutach (auditd/eBPF).
Sprawdź procesy poza namespaces kontenera.

Łowy (control plane)

K8s Audit: create/update z privileged=true/hostPath do /proc|/dev.
ECS/CloudTrail: RegisterTaskDefinition/RunTask z privileged=true, readonlyRootFilesystem=false.

Remediacja

Aktualizacja runc przez repo dystrybucji (RHEL/Ubuntu/SUSE publikują advisories).
Restart usług containerd/crio/docker; rollout nowych Podów/Tasków.
Wymuś polityki: Pod Security Standards, brak privileged, brak hostPID i niepotrzebnych hostPath.

Po incydencie

Rotacja sekretów używanych na node (jeśli istnieją oznaki wyjścia na hosta).
Hardening: seccomp/apparmor/SELinux profili i read‑only rootfs.

Przykłady z kampanii / case studies

Upstream disclosure (listy oss‑sec, 5–7 listopada 2025): opis trzech podatności runc umożliwiających pełne ucieczki przez zapisy do /proc. Wskazano, że realna dotkliwość w środowiskach Docker/K8s może być postrzegana jako wyższa niż „perspektywa runc”.
AWS bulletin: automatyczne działania (nowe AMI/placement zadań), brak ryzyka cross‑customer.
ATT&CK – przykłady procedur T1611: TeamTNT i inne przypadki nadużyć prowadzących do eskalacji na hosta (historycznie, różne wektory).

Lab (bezpieczne testy) — przykładowe komendy

Wyłącznie w odizolowanym labie/VM! Celem jest walidacja detekcji, nie odtwarzanie exploita.

Obserwacja zdarzeń mount (auditd)

sudo auditctl -D
sudo auditctl -a always,exit -F arch=b64 -S mount -k mounts_monitor
# akcja testowa: nieszkodliwy bind-mount w /tmp (na hoście)
sudo mkdir -p /tmp/lab && sudo mount -o bind /proc /tmp/lab
sudo ausearch -k mounts_monitor | aureport -f
sudo umount /tmp/lab

K8s – test heurystyki politycznej (hostPath RO)

apiVersion: v1
kind: Pod
metadata: { name: lab-hostpath-ro, namespace: default }
spec:
  containers:
  - name: sleeper
    image: alpine
    command: ["sh","-c","sleep 600"]
    volumeMounts:
    - name: hostproc
      mountPath: /host_proc
      readOnly: true
  volumes:
  - name: hostproc
    hostPath: { path: /proc, type: Directory }

Zastosuj kubectl apply -f ... i sprawdź, czy logika z sekcji 7 (KQL/Sigma na K8s Audit) generuje sygnał.
(Nie wykonuj zapisów do /proc; to test konfiguracji, nie eksploatacji).

Weryfikacja wersji – sprawdź, że runtime ≧ wersje z poprawkami (sekcja 10).

Mapowania (Mitigations, powiązane techniki)

Mitigations (ATT&CK):

M1048 – Application Isolation & Sandboxing (seccomp ograniczający mount, PSS w K8s).
M1038 – Execution Prevention (read‑only kontenery, minimalne obrazy, SELinux/AppArmor).
M1026 – Privileged Account Management (zakaz privileged, brak root‑a by default).
M1042 – Disable or Remove Feature or Program (usuwanie zbędnych narzędzi).
M1051 – Update Software (szybkie łatanie runtime/AMI).

Powiązane techniki (korelacje):

T1609 – Container Administration Command (nadużycie kubelet/API/Docker).
T1610 – Deploy Container (wstrzyknięcie nowej definicji z ryzykowną konfiguracją).
T1613 – Container and Resource Discovery (rozpoznanie środowiska przed ucieczką).

Źródła / dalsza lektura

MITRE ATT&CK T1611 (Escape to Host) – opis, taktyka, mitigacje, detekcje. (MITRE ATT&CK)
MITRE ATT&CK – Detection Strategy for Escape to Host (AN0612). (MITRE ATT&CK)
ATT&CK – wersje (v18.0 aktywna od 2025‑10‑28). (MITRE ATT&CK)
runc v1.3.3 / v1.2.8 – wydanie z poprawkami i opis CVE (upstream GitHub Releases). (GitHub)
NVD – karta CVE‑2025‑31133 (opis). (NVD)
Sysdig – analiza nowych luk runc (maskedPaths). (Sysdig)
oss‑security (Aleksa Sarai) – disclosure + komentarz dot. CVSS i 3 luk. (Openwall)
Ubuntu / USN i strona CVE. (Ubuntu)
SUSE advisory (wersje z łatkami, w tym 1.4.0‑rc.3). (SUSE)
AWS bulletin – działania w EKS/ECS, brak cross‑tenant. (Amazon Web Services, Inc.)

Checklisty dla SOC / CISO

SOC (operacyjne):

Wdrożone reguły z sekcji 7 (auditd/eBPF + K8s Audit + CloudTrail).
Korelacja „Pod create ↔ bind‑mount /proc ↔ write /proc/sys”.
Lista dozwolonych podów/agentów montujących /proc (RO) – tuning FP.
Dashboard wersji runc/containerd/CRI‑O węzłów (≥ 1.2.8/1.3.3/1.4.0‑rc.3).
Alert na privileged=true, hostPID=true, hostPath do /proc|/sys|/dev.

CISO (strategiczne):

Polityki PSS/PSA w K8s – brak kontenerów uprzywilejowanych.
SLA na aktualizacje runtime/AMI w chmurze (potwierdzony rollout).
Wymóg profili seccomp/AppArmor/SELinux dla workloadów.
Przegląd uprawnień DevOps do rejestracji definicji zadań (ECS) i tworzenia Podów (K8s).

Uwaga o rozbieżnościach wersji podatnych: NVD wskazuje konkretne zakresy wersji; upstream runc deklaruje, że problem dotyczył „wszystkich znanych wersji” przed wydaniami naprawczymi – w praktyce przyjmij konserwatywnie aktualizację do wersji z poprawką.

CVE-2025-52881 — runc: procfs write-redirect

TL;DR

CVE‑2025‑52881 to luka w runc (>=1.0, dotyczy m.in. Docker/containerd/CRI‑O), która pozwala przekierować zapisy do /proc podczas startu nowego kontenera (wyścigi + współdzielone montowania). Skutkiem może być ominięcie etykiet LSM, zapis do niebezpiecznych plików procfs (np. core_pattern, sysrq-trigger), DoS hosta lub ucieczka z kontenera (ATT&CK T1611). Naprawiono w runc 1.2.8, 1.3.3, 1.4.0‑rc.3 – aktualizacja jest kluczowa.

Krótka definicja techniczna

W runc 1.2.7 / 1.3.2 / 1.4.0‑rc.2 atakujący może przekierować operacje zapisu runc do alternatywnych plików procfs poprzez zestaw wyścigów przy współdzielonych montowaniach (np. symlink w tmpfs), co umożliwia zarówno bypass LSM (zapisy do proc/self/attr/*), jak i semi‑dowolny zapis do plików /proc/sys/* (np. kernel/core_pattern), prowadząc do eskalacji/ucieczki lub DoS.

Gdzie występuje / przykłady platform

Linux / kontenery OCI: Docker, containerd, CRI‑O (runc jako runtime).
Kubernetes (K8s): klastry korzystające z runc na węzłach roboczych (w tym minikube/kind).
Chmury: EKS/ECS/Fargate, AKS, GKE oraz Amazon Linux / Bottlerocket – dostawcy opublikowali zaktualizowane AMI/obrazy; AWS podkreśla brak ryzyka „cross‑customer”, ale rekomenduje aktualizacje.
Środowiska buildów: Docker BuildKit / docker buildx build (równoległe uruchomienia z niestandardowymi mountami).

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

Mechanizm CVE‑2025‑52881. Runc podczas startu kontenera wykonuje różne zapisy do procfs (np. etykiety LSM w proc/self/attr/*, ustawienia sysctl w proc/sys/*). Przy odpowiednio przygotowanej sytuacji wyścigu z współdzielonymi montowaniami (shared mounts) atakujący może sprawić, że ścieżka docelowa zapisów „wskoczy” na inny plik procfs (m.in. przez symlink w tmpfs), co omija wcześniejsze zabezpieczenia (z 2019 r.) sprawdzające „czy to jest procfs”, bo przekierowanie dalej wskazuje na procfs – tylko nie ten plik. Dzięki temu można m.in.:

Wyłączyć lub ominąć stosowanie LSM (AppArmor/SELinux) do procesu kontenera,
Zapisać w /proc/sys/kernel/core_pattern i wykorzystać „kernel upcalls” do wykonania pomocy core dump na hoście,
Zapisać do /proc/sysrq-trigger i wywołać awaryjne akcje jądra (DoS).

Klasa problemu łączy CWE‑363 (Race Condition enabling link following) i CWE‑61 (Symlink Following).

Konsekwencja w ATT&CK. To typowy wektor T1611: Escape to Host – ucieczka z kontenera do hosta, z potencjałem późniejszej persystencji i ruchu bocznego. MITRE wskazuje kontenery/ESXi/Linux/Windows jako platformy dla tej techniki (w tym kontekście dotyczy Linux/runc).

Wersje naprawione: runc 1.2.8 / 1.3.3 / 1.4.0‑rc.3 (wiele commitów + aktualizacja filepath-securejoin). Dystrybucje (Ubuntu, Amazon Linux/Bottlerocket) opublikowały pakiety i nowe AMI.

Artefakty i logi (tabela)

Warstwa	Źródło	Pole/ID	Co obserwować
Host Linux	auditd / eBPF (tracee/falco)	`syscall=open/openat/openat2/write` + `name`	Próby zapisu do `proc/self/attr/`, `proc/sys/`, zwł. `core_pattern`, `sysrq-trigger`; procesy: `runc`, `containerd-shim-runc-v2`, `crio`.
Host Linux	journald/kmsg	kernel	Paniki/rebooty, wpisy o sysrq, błędy LSM/labelingu podczas startu kontenera.
Container runtime	containerd/crio logs	—	Błędy montowań, ostrzeżenia o symlinkach/„dangling symlink”, retry na start.
Kubernetes audit	`create`/`update` Pod	`spec.containers[].volumeMounts[].mountPropagation`	`Bidirectional` lub nietypowe mounty wpływające na współdzielenie montowań; korelować z nietypowymi startami podów.
Kubernetes events	Events	`Warning` przy montowaniu woluminów	Ostrzeżenia dot. mount propagation, hostPath; częste restarty.
ECS/EKS (CloudTrail)	`RegisterTaskDefinition`, `RunTask`, EKS AMI rollouts	JSON payload	Wzorce: `linuxParameters.tmpfs`, nietypowe `mountPoints`, masowe nowe TaskDefinition po stronie CI/CD. (Indykator zmian/eksperymentów, nie samego ataku).
M365	—	—	[nie dotyczy] (luka jest w runc/Linux).
Windows EID	—	—	[nie dotyczy] (runc nie dotyczy Windows containers/runhcs).

Detekcja (praktyczne reguły)

Sigma (Linux/auditd) — wykrycie „niebezpiecznych” zapisów do procfs przez runc/CRI:

title: Runc/CRI writes to dangerous procfs targets (CVE-2025-52881 class)
id: 6b7e7b7c-6a6f-4d2a-9d3b-52881d3f0cve
status: experimental
description: Detect runc/containerd/crio writing to procfs targets linked to container escape/DoS
references:
  - https://nvd.nist.gov/vuln/detail/CVE-2025-52881
  - https://github.com/opencontainers/runc/security/advisories/GHSA-cgrx-mc8f-2prm
logsource:
  product: linux
  service: auditd
detection:
  syscall:
    syscall|contains:
      - open
      - openat
      - openat2
      - write
  proc_targets:
    name|contains:
      - "/proc/sysrq-trigger"
      - "/proc/sys/kernel/core_pattern"
    name|startswith:
      - "/proc/self/attr/"
      - "/proc/sys/"
  procs:
    exe|endswith:
      - "/runc"
      - "/containerd-shim-runc-v2"
      - "/crio"
  condition: syscall and procs and proc_targets
level: high
tags:
  - attack.t1611
  - cve.2025-52881

Splunk (SPL) – auditd + journald

(index=linux_audit OR sourcetype=linux:audit) ("type=SYSCALL" OR "SYSCALL=")
| rex field=_raw "exe=(?<exe>[^ ]+)"
| rex field=_raw "name=(?<name>[^ ]+)"
| search exe IN ("/usr/bin/runc","/usr/sbin/runc","/usr/bin/containerd-shim-runc-v2","/usr/bin/crio") 
| search name="/proc/sysrq-trigger" OR name="/proc/sys/kernel/core_pattern" OR name LIKE "/proc/self/attr/%"
| stats count min(_time) as first max(_time) as last by host exe name
| where count>0

KQL (Azure / Defender for Containers + K8s Audit)

// K8s audit: podejrzana propagacja montowań
KubeAudit
| where verb in ("create","update")
| where objectRef.resource == "pods"
| extend m = tostring(requestObject.spec.containers[0].volumeMounts)
| where m has "mountPropagation" and m has "Bidirectional"
| project TimeGenerated, userAgent, user.username, namespace=tostring(objectRef.namespace), pod=tostring(objectRef.name), requestObject

// Linux syslog z AMA: wzmianki o sysrq/core_pattern (proxy dla DoS/escape symptomów)
Syslog
| where ProcessName in~ ("runc","containerd-shim-runc-v2","crio")
| where SyslogMessage has_any ("sysrq-trigger","core_pattern","/proc/self/attr/")
| project TimeGenerated, Computer, ProcessName, SyslogMessage

AWS – CloudTrail (CLI/JMESPath) — heurystyka zmian definicji z mountami/tmpfs

Uwaga: CloudTrail nie rejestruje operacji wewnątrz kontenera. Poniższe służy do wykrywania zmian definicji z ryzykowną konfiguracją, które mogą ułatwić wyścigi z montowaniami.

aws cloudtrail lookup-events \
  --lookup-attributes AttributeKey=EventName,AttributeValue=RegisterTaskDefinition \
  --query "Events[?contains(CloudTrailEvent,'\"tmpfs\"') || contains(CloudTrailEvent,'\"mountPoints\"') || contains(CloudTrailEvent,'\"privileged\":true')].[EventTime,Username,Resources]"

Dla EKS: monitoruj rollouty AMI/NodeGroup po publikacjach AWS (patchowane runc w nowych AMI).

Elastic / EQL (Elastic Defend)

file where
  event.category == "file" and event.action in ("open","openat","write") and
  process.name in ("runc","containerd-shim-runc-v2","crio") and
  file.path regex~ """^/proc/(sysrq-trigger|sys/.*|self/attr/.*)"""

Heurystyki / korelacje

Korelacja czasu: Pod/Task start → w ~sekundach pojawiają się zapisy do /proc przez runc → następnie nietypowe zdarzenia jądra (sysrq/panika) albo procesy na hoście uruchomione przez helpery kernela (rdzeń → core_pattern).
Konfiguracje sprzyjające: mountPropagation: Bidirectional, nadużycia tmpfs/symlinków w łańcuchu build/run, kontenery uprzywilejowane w pipeline’ach.
Łańcuchy z innymi lukami: 31133/52565 + 52881 (bypass LSM) → pełny container escape.

False positives / tuning

Legalne zapisy runc do /proc/self/attr/* (etykietowanie LSM) – zwykle pojedyncze, na starcie. Ogranicz alerty do:
- Listy docelowych plików: sysrq-trigger, core_pattern, inne proc/sys/* poza whitelistem;
- Częstotliwości (burst > X w sekundę);
- Kontekstu: nietypowe mount propagation / uprzywilejowany kontener / nieznany obraz.
W środowiskach z narzędziami testowymi (np. chaos‑engineering) uwzględnij wyjątki czasowe.

Playbook reagowania (IR)

Triage & izolacja: cordon/drain węzła K8s z incydentem; w ECS – wycofaj dotknięte instancje/AMIs; odetnij od sieci segment management.
Weryfikacja wersji: sprawdź runc --version na węzłach; jeżeli <1.2.8/1.3.3/1.4.0‑rc.3 → patch ASAP.
Artefakty: zrzut /var/log/audit/audit.log, journalctl -k, logi containerd/CRI‑O, K8s audit.
Łowy zagrożeń: wyszukaj zapisy do core_pattern / sysrq-trigger; sprawdź, czy nie doszło do restarów/panik; poszukaj procesów hosta tworzących się bezpośrednio po starcie kontenera.
Eradykacja: odtwórz węzły na patchowanych AMI/obrazach (EKS/ECS/Bottlerocket/AL2023) i redeploy workloadów.
Utwierdzenie: egzekwuj PSS/Pod Security Standards; blokuj mountPropagation: Bidirectional; minimalne przywileje; eBPF/Falco policy dla procfs; rotation sekretów.
Retrospektywa: SCM/CI – kto zmienił definicje mountów/tmpfs? Wyciągnij wnioski do „policy as code”.

Przykłady z kampanii / case studies

TeamTNT / Hildegard / Peirates – historycznie obserwowano użycie uprzywilejowanych kontenerów, hostPath i innych wzorców prowadzących do Escape to Host (T1611); MITRE pokazuje te przykłady w procedurach techniki.

Uwaga: To analogiczne taktyki „ucieczki do hosta”, nie specyficzne exploity CVE‑2025‑52881.

Lab— przykładowe komendy

Wyłącznie w odizolowanym labie. Poniższe testy nie wykonują destrukcyjnych zapisów; służą jedynie do weryfikacji detekcji.

A. Ścieżka detekcyjna na procfs (bezpieczne cele)

# 1) Włącz auditd reguły (minimal): monitoruj open/write do procfs przez runc
sudo auditctl -w /proc/self/attr/ -p wa -k runc_proc_attr
sudo auditctl -w /proc/sys/ -p wa -k runc_proc_sys

# 2) Uruchom „zwykły” pod (minikube/kind) i obserwuj start – runc pisze do /proc/self/attr/*
#    Detektory powinny złapać pojedyncze, krótkie zapisy (baseline).

# 3) W kontenerze wykonaj bezpieczne odczyty/zapisy:
kubectl run test --image=alpine --restart=Never -- sh -c 'echo 0 >/proc/self/oom_score_adj; cat /proc/self/status >/dev/null; sleep 2'
#    (oom_score_adj na 0 — bezpieczne; brak sysrq/core_pattern!)

B. Heurystyka K8s: mountPropagation

# manifest (do testu reguł K8s-audit; NIE używać na prod)
apiVersion: v1
kind: Pod
metadata: { name: mp-test, namespace: default }
spec:
  containers:
  - name: c
    image: alpine
    command: ["sh","-c","sleep 60"]
    volumeMounts:
      - name: v
        mountPath: /mnt
        mountPropagation: Bidirectional     # <- trigger detekcji
  volumes:
  - name: v
    emptyDir: {}

Zastosuj i potwierdź, że KQL z sekcji 7 zwraca zdarzenie.

Mapowania (Mitigations, powiązane techniki)

Mitigations (MITRE ATT&CK):

M1051 Update Software – aktualizuj runc/AMI/OS (naprawa: 1.2.8/1.3.3/1.4.0‑rc.3).
M1048 Application Isolation & Sandboxing / PSS – ogranicz syscalle, blokuj uprzywilejowane kontenery i propagację montowań.
M1038 Execution Prevention – obrazy minimalne, filesystem read‑only.
M1026 Privileged Account Management – non‑root w kontenerach.

Powiązane techniki ATT&CK:

T1611 Escape to Host (główna),
T1190 Exploit Public‑Facing Application – typowy wektor dojścia do kontenera przed ucieczką.

Źródła / dalsza lektura

MITRE ATT&CK T1611: Escape to Host – opis, wersja 1.6 (24.10.2025). (MITRE ATT&CK)
NVD CVE‑2025‑52881 – opis, CVSS v4.0, lista commitów naprawczych. (NVD)
GitHub Security Advisory (opencontainers/runc, GHSA‑cgrx‑mc8f‑2prm) – szczegóły techniczne, skutki, wersje fixed. (GitHub)
runc releases 1.2.8 / 1.3.3 / 1.4.0‑rc.3 – noty wydania z informacją o 3 CVE. (GitHub)
oss‑sec ogłoszenie (Aleksa Sarai) – 3 luki runc, łańcuchowanie z 31133/52565 i rola 52881 jako LSM bypass. (SecLists)
Ubuntu CVE‑2025‑52881 / USN‑7851‑1 – status pakietów (wysoki priorytet). (Ubuntu)
AWS Security Bulletin AWS‑2025‑024 – wpływ na EKS/ECS/Bottlerocket/AL2023 (brak ryzyka cross‑customer, aktualizacje AMI). (Amazon Web Services, Inc.)

Checklisty dla SOC / CISO

SOC

Czy mamy sygnatury/audyt zapisu do procfs przez runc/CRI i K8s‑audit dla mountPropagation?
Czy EKS/ECS/hosty mają aktualne AMI/obrazy z runc ≥1.3.3 (lub backport)?
Baseline: typowy profil zapisów proc/self/attr/* na starcie kontenera – odstępstwa = alert.
Korelować starty kontenerów z anomaliami jądra (sysrq/paniki/rebooty).
Monitorować definicje podów/tasków pod kątem uprzywilejowania/propagacji montowań.

CISO / Platform

Patch policy: runc/OS/AMI w 48h; roll‑back plan; skan statusu dystrybucji (Ubuntu/AL/… ).
PSS/PSA: zakaz privileged, hostPID, mountPropagation: Bidirectional bez wyjątku.
Runtime ochrony: eBPF (Falco/Tracee, Elastic Defend) z regułami na procfs.
Bezpieczne buildy: kontrola docker buildx i mountów w pipeline; SBOM i image signing.
Ćwiczenia IR: scenariusz container escape (ATT&CK T1611) w planie ćwiczeń.

CVE-2025-52565 — runc: ucieczka z kontenera przez montowanie /dev/console (race + symlink)

TL;DR

W runc (silnik OCI używany m.in. przez Docker, containerd, CRI‑O) występuje błąd sprawdzania podczas montowania /dev/pts/$n na /dev/console dla kontenerów z przydzielonym terminalem. Ze względu na wyścigi i śledzenie symlinków atakujący, który kontroluje konfigurację/obraz uruchamianego kontenera, może przekierować bind‑mount i uzyskać możliwość zapisu do chronionych plików w procfs (np. /proc/sysrq-trigger, /proc/sys/kernel/core_pattern), co w praktyce umożliwia DoS hosta lub ucieczkę na hosta. Luka dotyczy m.in. runc 1.0.0‑rc3–1.2.7, 1.3.0‑rc.1–1.3.2 oraz 1.4.0‑rc.1–rc.2; naprawiona w 1.2.8, 1.3.3 i 1.4.0‑rc.3. CVSS v4 (CNA): High (8.4).

Krótka definicja techniczna

CVE‑2025‑52565 to luka w runc, w której bind‑mount /dev/pts/$n → /dev/console wykonywany jest przed zastosowaniem maskedPaths/readonlyPaths. Przy niewystarczających walidacjach możliwe jest podstawienie symlinka i „nadpisanie” celu mountu ścieżką prowadzącą do wrażliwych plików procfs, co może skutkować eskalacją do ATT&CK T1611: Escape to Host.

Gdzie występuje / przykłady platform

Linux (host): dystrybucje korzystające z runc (Docker/Containerd/CRI‑O).
Kubernetes (AKS/EKS/GKE, on‑prem): każdy klaster, w którym runtime CRI używa runc; pod z tty: true może inicjować wadliwy montaż konsoli.
Chmury (AWS/EKS/ECS): AWS potwierdził wpływ nowych luk runc na uruchamianie nowych kontenerów; brak ryzyka między‑klienckiego w usługach zarządzanych (izolacja nie opiera się o kontenery jako granicę bezpieczeństwa).
Dystrybucje (Ubuntu/SUSE itd.): doradztwa bezpieczeństwa publikują statusy i aktualizacje pakietów runc.

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

Podczas inicjalizacji kontenera z terminalem runc bind‑mountuje „slave” pty (/dev/pts/$n) pod /dev/console. Przed zaaplikowaniem maskedPaths/readonlyPaths dochodzi do okna czasu, w którym atakujący może podmienić źródło na symlink wskazujący docelowo na ścieżki w procfs. Efekt: zapisy do plików typu /proc/sysrq-trigger (natychmiastowe działania systemowe → DoS) bądź modyfikacja /proc/sys/kernel/core_pattern (przekierowanie core dumpów do programu — wektor eskalacji/persistencji). Łańcuch jest koncepcyjnie podobny do CVE‑2025‑31133, lecz dotyczy innego etapu montowania konsoli. Błąd naprawiono, dodając m.in. walidacje inode, bezpieczne ponowne otwieranie ścieżek i wsparcie TIOCGPTPEER.

Zakres wersji: 1.0.0‑rc3–1.2.7, 1.3.0‑rc.1–1.3.2, 1.4.0‑rc.1–rc.2 → fixed: 1.2.8, 1.3.3, 1.4.0‑rc.3. CWE: 61 (symlink following) oraz 363 (race enabling link following). CVSS v4 (CNA GitHub): 8.4 High (na NVD brak jeszcze własnej oceny). Uwaga: w opisie GHSA pojawia się alternatywna ocena 7.3 High; różnice wynikają z aktualizacji metryk przez źródła.

Artefakty i logi (co zbierać)

Źródło	Artefakt / log	Na co patrzeć	Uwagi
Linux auditd	`SYSCALL=mount` (MS_BIND), `open/openat` → ścieżki w `/proc/sys*`, `/proc/sysrq-trigger`	Próby zapisu/otwarcia do ww. plików z procesów uruchamianych w cgroupach kontenerowych (`/kubepods/`, `/docker/`, `/containerd/`).	Wysoka wartość dowodowa w korelacji z utworzeniem nowego kontenera.
Sysmon for Linux	EID 11 (FileCreate), EID 1 (ProcessCreate)	Tworzenie/zapis do `/proc/sys/kernel/core_pattern` lub akcji na `/proc/sysrq-trigger`; łańcuch procesów wskazujący na `runc`, `containerd-shim`, `dockerd`.	Wymaga właściwego mapowania pól.
K8s audit	`create` Pod/Container	`spec.containers[].tty=true` lub `stdin=true` dla obrazów z niskim zaufaniem; nagłe serie interaktywnych podów.	Warto mieć polityki OPA/Gatekeeper zakazujące TTY w produkcji.
Docker/containerd	dzienniki demona	Utworzenie z `Config.Tty=true` (Docker) lub `WithTTY=true` (containerd).	Pola zależne od journald/syslog.
AWS CloudTrail / CloudWatch Logs (EKS/ECS)	`RegisterTaskDefinition`	`containerDefinitions[].pseudoTerminal=true` (ECS)	Pole `pseudoTerminal` odpowiada `--tty`.
M365	—	[nie dotyczy]	N/D

Detekcja (praktyczne reguły)

Sigma (Linux/auditd) – zapis do krytycznych procfs z kontenera

title: Linux Procfs Write Indicative of Container Escape (CVE-2025-52565 family)
id: 8c2d8b38-6a6d-4ef0-9c43-52565a01
status: experimental
description: Wykrywa próby zapisu do /proc/sysrq-trigger lub /proc/sys/kernel/core_pattern wykonywane przez procesy działające w cgroupach kontenerowych.
references:
  - https://nvd.nist.gov/vuln/detail/CVE-2025-52565
  - https://github.com/opencontainers/runc/security/advisories/GHSA-qw9x-cqr3-wc7r
logsource:
  product: linux
  service: auditd
detection:
  selection_paths:
    (file.name|endswith):
      - "/proc/sysrq-trigger"
      - "/proc/sys/kernel/core_pattern"
  selection_syscalls:
    syscall|in:
      - open
      - openat
      - creat
      - write
  container_hint:
    cwd|contains:
      - "/docker/"
      - "/kubepods/"
      - "/containerd/"
  condition: selection_paths and selection_syscalls and container_hint
fields:
  - auid
  - exe
  - comm
  - cwd
  - uid
  - saddr
level: high
tags:
  - attack.t1611
  - cve.2025-52565

Splunk (SPL) – auditd → zapisy do procfs z przestrzeni kontenera

index=linux sourcetype=audit*
(| file IN ("/proc/sysrq-trigger","/proc/sys/kernel/core_pattern")
 OR msg IN ("/proc/sysrq-trigger","/proc/sys/kernel/core_pattern"))
 (syscall IN ("open","openat","creat","write"))
 (cwd="*kubepods*" OR cwd="*docker*" OR cwd="*containerd*")
| stats count min(_time) as first_seen max(_time) as last_seen by host exe comm uid file cwd

KQL (Azure/Microsoft Sentinel – Syslog lub AMA)

Syslog
| where ProcessName has_cs "runc" or ProcessName has_cs "containerd" or ProcessName has_cs "dockerd"
| where SyslogMessage has "/proc/sysrq-trigger" or SyslogMessage has "/proc/sys/kernel/core_pattern"
| where SyslogMessage has_any ("open","write","mount")

CloudTrail/CloudWatch Logs Insights – ECS task def z TTY

fields @timestamp, userIdentity.principalId, eventName, requestParameters.containerDefinitions
| filter eventSource = "ecs.amazonaws.com" and eventName="RegisterTaskDefinition"
| filter requestParameters.containerDefinitions like /"pseudoTerminal":\s*true/
| sort @timestamp desc

Elastic / EQL – pliki procfs

file where
  event.action in ("modification","open") and
  file.path in ("/proc/sysrq-trigger","/proc/sys/kernel/core_pattern") and
  process.container.id != null

Heurystyki / korelacje

Nowy kontener z TTY (tty: true / pseudoTerminal: true) + w krótkim czasie próby zapisu do procfs.
Nietypowe obrazy/źródła (rejestry spoza allowlist) + TTY + privileged: false (brak konieczności bycia privileged → sygnał zaskakujący).
Zmiana core_pattern → koreluj z nagłą aktywnością debugerów/potoków na hoście.
Seria nieudanych montowań (MS_BIND) z kontekstu runc w tym samym oknie czasowym co tworzenie pody/konternera.

False positives / tuning

Automatyka hosta (configuration management) może legalnie modyfikować core_pattern (Ansible/Puppet/sysctl) — zwykle poza cgroupami kontenerów. Whitelistuj znane narzędzia/ścieżki exe.
Sesje debug (kubectl exec -it) w środowiskach deweloperskich z TTY — oznacz jako low risk, jeśli obraz i namespace są zaufane.
Agreguj tylko z kontenerów (process.container.id != null / ścieżka cgroup).

Playbook reagowania (SOC / Blue Team)

Identyfikacja
- Alarm z reguł (powyżej) → zapisz host, container_id, image, pod, namespace, user.
- Sprawdź wersję runtime: runc --version; crictl --version 2>/dev/null; docker info 2>/dev/null | grep -i 'runc\|containerd'
Tymczasowa izolacja
- K8s: kubectl cordon <node> i kubectl drain <node> --ignore-daemonsets --delete-emptydir-data (jeśli incydent dotyczy węzła).
- Zatrzymaj/podmroź podejrzane workloady: kubectl delete pod <pod> -n <ns> lub skaluj do zera.
Triage hosta
- Zweryfikuj core_pattern i artefakty: cat /proc/sys/kernel/core_pattern dmesg --ctime | egrep -i 'sysrq|core_pattern' ausearch -f /proc/sysrq-trigger -ts recent
Łatanie
- Zaktualizuj runc min. do 1.2.8/1.3.3/1.4.0‑rc.3 (wraz z restartem node). Sprawdź doradztwa dystrybucyjne (Ubuntu/SUSE).
Hardening
- Włącz polityki: blokuj TTY w prod (OPA Gatekeeper „Disallow Interactive TTY”).
- Wymuś readOnlyRootFilesystem, seccomp, ograniczenia capabilities, oraz deny‑listy hostPath.
Dowody/raport
- Zachowaj logi: auditd, kube‑apiserver audit, journald (dockerd/containerd), CloudTrail.
- IOC: obrazy, digests, namespace, użytkownik/API client.

Przykłady z kampanii / case studies

Zbiorcze doradztwa AWS: trzy luki runc (CVE‑2025‑31133/52565/52881) — brak ryzyka cross‑tenant, zalecenia aktualizacji platform zależnych od runc.
Analizy branżowe (Sysdig/ARMO): opisują wektory ucieczki przez procfs i praktyczne wskazówki detekcyjne w środowiskach kontenerowych.
oss‑sec: ogłoszenie do vendorów o trzech poważnych lukach runc umożliwiających zapis do dowolnych plików /proc i full breakout.

Lab (bezpieczne testy) — przykładowe komendy

Wyłącznie w odizolowanym labie/VM, nie w produkcji. Celem jest weryfikacja detekcji i twardnienia, nie eksploatacja.

Weryfikacja wersji i polityk runc --version kubectl get psp,podsecuritypolicies 2>/dev/null || true
Uruchomienie kontrolowanej pracy z TTY (sygnał do telemetrii) kubectl run tty-demo --image=busybox --restart=Never --tty=true --stdin=true -- sh -c 'sleep 300' # Sprawdź w kube-audit/CloudTrail/ECS czy widać tty/pseudoTerminal=true
Walidacja reguł
- Sprawdź, czy alerty NIE pojawiają się dla zwykłych kontenerów bez TTY.
- Zasymuluj „niegroźne” odczyty procfs (bez zapisu), aby upewnić się, że reguły nie generują FP dla read‑only.
Hardening
- Zastosuj OPA Gatekeeper k8sdisallowinteractivetty i sprawdź blokadę tworzenia podów z tty: true.

Mapowania (Mitigations, powiązane techniki)

Mitigations (ATT&CK):
- M1051 Update Software (aktualizacja runc)
- M1048 Application Isolation and Sandboxing (seccomp, blokada mount, deny hostPath)
- M1026 Privileged Account Management (brak root/privileged)
- M1038 Execution Prevention (read‑only FS, minimalne obrazy)
Techniki powiązane: T1068 Exploitation for Privilege Escalation (eksploitacja podatności w celu ucieczki), T1610 Deploy Container (wykorzystywanie specjalnie zbudowanego obrazu).

Źródła / dalsza lektura

NVD: opis, zakres, wersje, CVSS, CWE. (NVD)
GHSA opencontainers/runc (szczegóły techniczne, patchset, metryki). (GitHub)
AWS Security Bulletin (EKS/ECS). (Amazon Web Services, Inc.)
Ubuntu CVE tracker (opis dystrybucyjny). (Ubuntu)
Sysdig: przegląd i detekcja dla trzech CVE runc. (sysdig.com)
ARMO: omówienie skutków i zaleceń. (armosec.io)
oss‑sec: zawiadomienie do vendorów. (seclists.org)
MITRE ATT&CK T1611 Escape to Host (opis techniki, mitigacje). (MITRE ATT&CK)
ECS pseudoTerminal (API). (AWS Documentation)

Checklisty dla SOC / CISO

SOC (operacyjnie):

Włącz zbieranie auditd + kube‑audit + dzienniki runtime (docker/containerd) na węzłach.
Aktywuj reguły detekcji dla zapisu do /proc/sysrq-trigger i /proc/sys/kernel/core_pattern z kontekstu kontenera.
Koreluj tworzenie podów/kontenerów z TTY (tty: true / pseudoTerminal:true).
Utrzymuj inventory wersji runc i sygnalizuj wersje < 1.2.8 / 1.3.3 / 1.4.0‑rc.3.
Testuj polityki Gatekeeper blokujące TTY w prod.

CISO (strategicznie):

Zleć natychmiastowe aktualizacje runc w całym łańcuchu (Docker/containerd/CRI‑O, node AMI).
Wymuś standardy bezpieczeństwa kontenerów: brak privileged, brak hostPath do ///proc, seccomp/SELinux, RO‑rootfs.
Wprowadź „no‑TTY‑by‑default” w produkcji oraz przegląd wyjątków.
Ustal RTO/RPO dla incydentów kontenerowych i gotowość do cordon/drain węzłów.

Status ryzyka: High (CNA CVSS v4 8.4). Zastosuj aktualizacje runc (≥1.2.8/1.3.3/1.4.0‑rc.3) i polityki ograniczające TTY, a także zbieraj telemetrię z hostów i warstwy orkiestracji do korelacji zdarzeń.

CVE-2013-1493 — Oracle Java SE (2D/CMM) RCE przez obraz rastrowy

TL;DR

Krytyczna luka w Java SE 5/6/7 (moduł 2D/CMM) umożliwia zdalne wykonanie kodu przy przetwarzaniu spreparowanego obrazu rastrowego w aplecie/Java Web Start. W 2013 r. była aktywnie wykorzystywana w kampaniach drive‑by (np. pakiety exploitów), a Oracle załatał ją w JRE/JDK 7u17 i 6u43. Dla SOC mapujemy to na T1189 (wejście przez stronę WWW) oraz T1203 (eksploatacja klienta). Zalecane: odinstalować wtyczkę Java w przeglądarkach (legacy), wymusić aktualizacje, monitorować łańcuch browser → java.exe → LOLBIN.

Krótka definicja techniczna

CVE‑2013‑1493 to błąd w Color Management (CMM) komponentu Java 2D, który przy przetwarzaniu obrazu o specjalnie przygotowanych parametrach rastra powoduje odczyt poza buforem i/lub uszkodzenie pamięci JVM, co umożliwia RCE przez aplet/Java Web Start w przeglądarce. CVSS v2: 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C).

Gdzie występuje / przykłady platform

Endpointy z przeglądarką i wtyczką Java: Windows, macOS, Linux (w 2013 r. powszechne; dziś przeważnie legacy/ICS/offline).
Środowiska VDI/kioski z dziedziczonymi aplikacjami Web Start.
Nie dotyczy bezpośrednio serwerów (Oracle: luka dotyczy Javy uruchamianej w przeglądarce).

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

Atakujący umieszcza na stronie WWW (lub w pakiecie exploitów) aplet/Java Web Start wczytujący obraz z nietypowymi parametrami rastra. Podczas renderowania w module Java 2D/CMM dochodzi do naruszenia pamięci JVM → przekazanie sterowania do złośliwego payloadu. W typowym łańcuchu drive‑by użytkownik odwiedza stronę (często watering hole), przeglądarka ładuje wtyczkę Java, a po eksploatacji następuje pobranie i uruchomienie kolejnego modułu (np. downloader), często z wykorzystaniem systemowych LOLBIN‑ów (cmd.exe, powershell.exe, rundll32.exe). Oracle podkreślał, że lukę należy traktować jako dotyczącą Javy w przeglądarkach (nie serwerowej).

Dlaczego skuteczna (historycznie):

masowa ekspozycja wtyczki Java w przeglądarkach;
niska interakcja użytkownika (często brak – lub akceptacja ostrzeżenia);
natychmiastowe przejście do Execution po Initial Access (ATT&CK).

Artefakty i logi

Źródło	ID / typ	Co obserwować	Wskazówki
Windows Security	4688 (Process Create)	`java.exe`/`javaw.exe`/`javaws.exe` jako dziecko `chrome.exe`/`msedge.exe`/`firefox.exe`/`iexplore.exe`	Nietypowe dziś; silnie podejrzane w 2025 r.
Sysmon	1 (Process Create)	`java*.exe` → uruchamia `cmd.exe`/`powershell.exe`/`wscript.exe`/`rundll32.exe`/`mshta.exe`	Łańcuch post‑eksploatacyjny
Sysmon	3 (Network Connect), 22 (DNS)	Połączenia HTTP(S) zaraz po starcie `java.exe` do nieznanych domen; rzadkie SNI/JA3	Korelować z Proxy/NGFW
Sysmon	7 (ImageLoad)	Dynamiczne DLL do Javy ładowane z `%TEMP%`/`%APPDATA%`	Droppery
Sysmon	11 (FileCreate)	Nowe JAR/EXE/DLL w profilach użytkownika	Artefakty post‑eksploatacyjne
Proxy/HTTP	—	Pobrania `.jar`/`.class`/MIME `application/java-archive`, stare typy `application/x-java-applet`	Wzorzec drive‑by
EDR (MDE/SentinelOne/itp.)	—	Reguły behawioralne: przeglądarka → Java → LOLBIN → sieć	Korelacje
CloudTrail (S3 data events)	`GetObject`	Pobrania `.jar`/`.class` z bucketów spoza allowlisty	Detekcja hostingu artefaktów
K8s audit	—	[N/D] — luka dot. klienta przeglądarkowego
M365 Audit	—	[N/D] — brak bezpośredniego śladu

Detekcja (praktyczne reguły)

Sigma (Windows / Sysmon)

title: Browser-Spawns-Java-And-Java-Spawns-LOLBIN (CVE-2013-1493 TTP)
id: 9b9a6e2f-9a1c-4bde-b3d9-13d313493000
status: experimental
logsource:
  product: windows
  category: process_creation
detection:
  browser_parent:
    ParentImage|endswith:
      - '\chrome.exe'
      - '\msedge.exe'
      - '\firefox.exe'
      - '\iexplore.exe'
  java_proc:
    Image|endswith:
      - '\java.exe'
      - '\javaw.exe'
      - '\javaws.exe'
  lolbin_child:
    ParentImage|endswith:
      - '\java.exe'
      - '\javaw.exe'
      - '\javaws.exe'
    Image|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
      - '\wscript.exe'
      - '\cscript.exe'
      - '\rundll32.exe'
      - '\mshta.exe'
  condition: (browser_parent and java_proc) or lolbin_child
fields:
  - UtcTime
  - Image
  - ParentImage
  - CommandLine
  - ParentCommandLine
falsepositives:
  - Rzadkie, legacy Web Start / środowiska deweloperskie
level: high
tags:
  - attack.T1189
  - attack.T1203

Splunk (SPL)

1) Przeglądarka → Java

index=sysmon sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational EventCode=1
| where mvfind(["chrome.exe","msedge.exe","firefox.exe","iexplore.exe"], lower(coalesce(ParentImage,ParentImage)))>=0
| where like(lower(Image), "%\\java.exe") OR like(lower(Image), "%\\javaw.exe") OR like(lower(Image), "%\\javaws.exe")
| stats earliest(_time) as firstSeen latest(_time) as lastSeen values(CommandLine) by Computer, User, ParentImage, Image, ParentCommandLine

2) Java → podejrzany LOLBIN / łańcuch procesu

index=sysmon EventCode=1 (Image="*\\cmd.exe" OR Image="*\\powershell.exe" OR Image="*\\wscript.exe" OR Image="*\\rundll32.exe" OR Image="*\\mshta.exe")
| join ProcessGuid type=inner [
  search index=sysmon EventCode=1 (Image="*\\java.exe" OR Image="*\\javaw.exe" OR Image="*\\javaws.exe")
  | table ProcessGuid, Computer, User, Image, ParentImage, CommandLine, ParentCommandLine, _time
]
| table _time, Computer, User, ParentImage, Image, CommandLine, ParentCommandLine

KQL (Microsoft Defender/Sentinel)

// Browser -> Java
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("chrome.exe","msedge.exe","firefox.exe","iexplore.exe")
| where FileName in~ ("java.exe","javaw.exe","javaws.exe")
| project Timestamp, DeviceName, InitiatingProcessFileName, FileName, ProcessCommandLine, InitiatingProcessCommandLine, AccountName

// Java -> LOLBIN within 2 min
let suspiciousChildren = dynamic(["cmd.exe","powershell.exe","wscript.exe","rundll32.exe","mshta.exe"]);
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("java.exe","javaw.exe","javaws.exe")
| join kind=inner (
    DeviceProcessEvents
    | where FileName in~ (suspiciousChildren)
    | project ChildTime=Timestamp, DeviceId, ChildFile=FileName, ChildCmd=ProcessCommandLine, InitiatingProcessParentId
) on DeviceId, InitiatingProcessId==InitiatingProcessParentId
| where ChildTime between (Timestamp .. Timestamp + 2m)
| project DeviceName, Timestamp, ChildTime, InitiatingProcessFileName, ChildFile, ChildCmd

CloudTrail query (CloudWatch Logs Insights – S3 Data Events)

Użyteczne, gdy wykrywamy hostowanie artefaktów JAR/CLASS w S3 (częsty etap w kampaniach drive‑by).

fields @timestamp, eventSource, eventName, requestParameters.bucketName, requestParameters.key, sourceIPAddress, userAgent
| filter eventSource = "s3.amazonaws.com" and eventName = "GetObject"
| filter requestParameters.key like /\.jar$/ or requestParameters.key like /\.class$/
| filter ispresent(userAgent) and (userAgent like 'Mozilla%' or userAgent like '%Java%')
| sort @timestamp desc

Elastic / EQL (Endpoint)

// Java spawns LOLBIN
process where
  process.name in ("cmd.exe","powershell.exe","wscript.exe","rundll32.exe","mshta.exe") and
  parent.process.name in ("java.exe","javaw.exe","javaws.exe")

Heurystyki / korelacje

Łańcuch czasowy: browser → java.exe → LOLBIN → outbound HTTP(S)/DNS w krótkim oknie (≤2 min).
Pliki tymczasowe: nowe .jar/.dll/.exe w %TEMP%, %APPDATA%, ~/Library/Application Support.
Proxy/NGFW: nagłe pobrania JAR/CLASS z rzadkich domen → brak wcześniejszej reputacji.
EDR: zastrzyk modułów do JVM spoza katalogów Javy; Java jako nietypowy rodzic skryptów/LOLBIN‑ów.
Reputacja/Threat Intel: korelacja domen/IP z historycznymi pakietami exploitów (Blackhole/Sweet Orange itd.).

False positives / tuning

Legitymne środowiska Web Start/IcedTea‑Web (intranety, ICS) — białe listy domen/aplikacji.
Deweloperzy Javy uruchamiający narzędzia buildujące z przeglądarki.
W 2025 r. każde uruchomienie wtyczki Java w przeglądarce jest podejrzane; tuning opierać na allowlistach domen i podpisów plików JAR.

Playbook reagowania (IR)

Triage i izolacja: odłącz host, zachowaj pamięć/dysk (artefakty JVM).
Zbieranie faktów: drzewo procesów od przeglądarki do java*.exe, następnie do LOLBIN‑ów; zrzut listy modułów JVM; lista nowo utworzonych plików.
Sieć: zablokuj domeny/sumy SHA256 pobranych JAR/EXE; sprawdź proxy dla innych ofiar.
Eskalacja/przeciwdziałanie:
- odinstaluj/wyłącz plugin Java;
- wymuś aktualizacje do JRE/JDK 7u17/6u43 na hostach legacy; rozważ całkowite usunięcie Javy z przeglądarek.
Hunting retro (30–90 dni): wzorce pobrań .jar/.class, łańcuchy browser → Java → LOLBIN.
Lessons learned: polityka click‑to‑play / blokada wtyczek, patch management, segmentacja egress.

Przykłady z kampanii / case studies

Blackhole i inne pakiety exploitów (2013) szeroko nadużywały luk w Javie, w tym CVE‑2013‑1493, do drive‑by download i pobierania malware.
Detekcje vendorów (MSFT) klasyfikowały ruch jako Exploit:Java/CVE‑2013‑1493 – wejście przez stronę WWW, następnie pobranie i uruchomienie plików.

Lab (bezpieczne testy) — przykładowe komendy

Wyłącznie w odizolowanym, testowym środowisku (VM, brak Internetu). Celem jest wygenerowanie artefaktów detekcyjnych, nie eksploatacja luki.

A. Symulacja łańcucha browser → Java

Otwórz w przeglądarce lokalny plik HTML z linkiem jnlp (pusty, benigny) albo uruchom:

# Windows (zainstalowana Java): symulacja startu Java z procesu użytkownika
Start-Process -FilePath "$env:ProgramFiles\Google\Chrome\Application\chrome.exe" -ArgumentList "about:blank"
Start-Sleep -Seconds 2
Start-Process -FilePath "C:\Program Files\Java\jre\bin\javaw.exe" -ArgumentList "-version"

Sprawdź, czy reguły Sigma/Splunk/KQL łapią „browser → javaw.exe”.

B. Java → LOLBIN (benigny helper)
Utwórz prosty JAR uruchamiający notepad (tylko logówka):

# Linux/macOS (analogicznie w Windows z javac)
cat > Runner.java << 'EOF'
public class Runner {
  public static void main(String[] args) throws Exception {
    new ProcessBuilder("notepad.exe").start(); // na *nix np. "xcalc"
  }
}
EOF
javac Runner.java && jar cfe runner.jar Runner Runner.class
# Uruchom:
java -jar runner.jar

Oczekiwany artefakt: java.exe → notepad.exe (LOLBIN), co powinno trafić w reguły.

Mapowania (Mitigations, powiązane techniki)

Mitigations (ATT&CK):

M1051 – Update Software (patchowanie Javy; eliminacja wtyczki/legacy)
M1031 – Network Intrusion Prevention (blok sygnatur exploit‑kit/JAR)
M1040 – Behavior Prevention on Endpoint (EDR/anty‑exploit)
M1017 – User Training (świadomość ryzyk apletów/ostrzeżeń przeglądarki)

Powiązane techniki:

T1189 Drive‑by Compromise (wejście)
T1203 Exploitation for Client Execution (RCE w kliencie)
T1204.002 User Execution: Malicious File (czasem wymagane kliknięcie/akcept)
T1059 Command and Scripting Interpreter (następstwa)

Źródła / dalsza literatura

Oracle Security Alert (zakres: dotyczy Javy w przeglądarkach; wersje naprawcze 7u17/6u43) (Oracle)
Oracle JDK 7u17 Release Notes (baseline wersji z poprawką) (Oracle)
NVD CVE‑2013‑1493 (opis techniczny, CVSS 10.0, „exploited in the wild”) (NVD)
CISA Alert: Oracle Java Contains Multiple Vulnerabilities (wersje podatne i zalecenia) (CISA)
Microsoft WDSI – Exploit:Java/CVE‑2013‑1493 (mechanika ataku przez WWW) (Microsoft)
McAfee Labs (pakiety exploitów wykorzystywały m.in. CVE‑2013‑1493) (McAfee)
ATT&CK – T1189 / T1203 / TA0001 / TA0002 / v18 updates (mapowanie technik i wersja ATT&CK) (MITRE ATT&CK)

Checklisty dla SOC / CISO (krótko)

SOC (operacyjne):

Włączone logi: Sysmon (1/3/7/11/22), Security 4688, EDR z korelacją rodzic‑dziecko.
Reguły: „browser → java.exe”, „java.exe → LOLBIN”, pobrania .jar/.class.
Blokady: domeny/URL z kampanii, Content‑Type application/java-archive.
Hunting retro: 30–90 dni w proxy/EDR pod kątem JAR/CLASS + łańcuch procesów.
Alerting na dowolne uruchomienie wtyczki Java w przeglądarce (2025).

CISO (strategiczne):

Eliminacja wtyczek Java (NPAPI) w organizacji; akceptacja wyjątków tylko czasowa.
Polityka patchowania: min. 7u17/6u43 na systemach legacy lub migracja/wycofanie.
EDR z prewencją behawioralną (M1040) i IPS przy egress (M1031).
Program świadomości (M1017) dot. apletów/ostrzeżeń przeglądarki.

Uwaga o ryzyku: Choć wtyczka Java jest powszechnie wycofana we współczesnych przeglądarkach, luka ma znaczenie historyczne, a wewnętrzne środowiska legacy (np. ICS/offline) mogą wciąż generować analogiczne ścieżki ataku.
Rekomendacja: najlepiej całkowicie usunąć wtyczkę Java z przeglądarek i ograniczyć Javę do aplikacji lokalnych z aktualną wersją JVM.