Archiwa: NIST - Security Bez Tabu

Tag: NIST

Hakerzy wykorzystują lukę SNMP w Cisco (CVE-2025-20352), aby instalować rootkita na przełącznikach

Wprowadzenie do problemu / definicja luki

Cisco potwierdziło aktywne wykorzystywanie luki CVE-2025-20352 w podsystemie SNMP systemów IOS oraz IOS XE. Błąd wynika z przepełnienia stosu i – w zależności od poziomu uprawnień napastnika – umożliwia DoS (restart urządzenia) lub zdalne wykonanie kodu z uprawnieniami roota. Cisco oznaczyło podatność jako wykorzystywaną w atakach (zero-day) i wydało poprawki w ramach wrześniowego pakietu biuletynów, aktualizując doradztwo 6 października 2025 r.

W skrócie

  • Identyfikator: CVE-2025-20352 (CVSS High). Komponent: SNMP w IOS / IOS XE. CWE-121 (stack overflow).
  • Warunki ataku: wymaga ważnych poświadczeń SNMP (np. RO dla SNMPv2c lub użytkownika SNMPv3). RCE jako root wymaga dodatkowo uprawnień administratorskich/priv-15.
  • Status: potwierdzona eksploatacja w środowiskach produkcyjnych; wpis w CISA KEV.
  • Nowa kampania: Trend Micro opisuje falę ataków „Operation Zero Disco” z rootkitem na przełącznikach (m.in. Catalyst 9300/9400, starsze 3750G).

Kontekst / historia / powiązania

Luka została ogłoszona w pakiecie wrześniowych biuletynów Cisco dla IOS/IOS XE (24 września 2025 r.), a następnie zaktualizowana 6 października z adnotacją o udanym wykorzystaniu. CISA dodała CVE-2025-20352 do Known Exploited Vulnerabilities (KEV), co zobowiązuje agencje federalne USA do priorytetowego łatania. Równolegle Trend Micro ujawnił kampanię „Operation Zero Disco”, w której napastnicy łączą SNMP-RCE z innymi wektorami (np. próby modyfikacji znanej luki CVE-2017-3881 w Telnecie) w celu trwałego przejęcia urządzeń sieciowych.

Analiza techniczna / szczegóły luki

Mechanika CVE-2025-20352. Błąd to przepełnienie stosu wyzwalane spreparowanym pakietem SNMP (IPv4/IPv6).

  • Z niskimi uprawnieniami (np. RO dla SNMPv2c) napastnik może doprowadzić do restartu (DoS).
  • Z wysokimi uprawnieniami (SNMPv1/v2c lub SNMPv3 + priv-15) możliwe jest RCE jako root.

„Operation Zero Disco” – implant i taktyki. Badacze Trend Micro odzyskali 32- i 64-bitowe warianty exploita SNMP oraz opisali rootkita, który po zainstalowaniu:

  • ustawia uniwersalne hasło zawierające ciąg „disco”,
  • wstrzykuje hooki w pamięci IOSd (częściowo „fileless”, komponenty znikają po reboocie),
  • zapewnia kontroler UDP pozwalający m.in. wyłączać/usuwać logi, omijać AAA i VTY ACL, ukrywać fragmenty running-config oraz fałszować znaczniki czasu zmian,
  • ułatwia ARP spoofing i ruch lateralny między VLAN-ami.
    Trend notuje celowanie w Catalyst 9300/9400 oraz legacy 3750G; nowsze modele z ASLR są bardziej odporne, ale nie całkowicie bezpieczne.

Widoczność i wykrywanie. Trend Micro podkreśla, że brak jest narzędzia gwarantującego wykrycie kompromitacji tego typu – w razie podejrzeń potrzebna jest analiza niskopoziomowa firmware/ROM. BleepingComputer potwierdza te obserwacje, wskazując na brak niezawodnych detektorów i konieczność śledczej analizy obrazów.

Praktyczne konsekwencje / ryzyko

  • Sieci kampusowe i DC: przełączniki dostępowe/rdzeniowe stają się punktami trwałego dostępu (persistent access). Rootkit potrafi ukrywać wpisy konfiguracyjne i manipulować logami, co utrudnia DFIR.
  • Segmentacja i NAC: możliwość omijania AAA/ACL oraz ARP spoofing zwiększa ryzyko przeskakiwania VLAN-ów i eskalacji uprawnień w sieci.
  • Dostępność usług: nawet bez RCE możliwy jest DoS krytycznych przełączników przez posiadaczy słabych/wyciekłych danych SNMP.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowe łatanie. Zastosuj najnowsze obrazy IOS/IOS XE z pakietu opublikowanego 24 września 2025 r. (aktualizacje doradztwa 6 października 2025 r.). Zweryfikuj, czy wersja zawiera poprawkę dla CVE-2025-20352.
  2. Twarde ograniczenie SNMP.
    • Wyłącz SNMP v1/v2c (plaintext community) i przejdź na SNMPv3 z silnym hasłem i AES.
    • Ogranicz dostęp ACL-ami (tylko z adresów NMS/jump hostów).
    • Rotuj community/poświadczenia SNMP po wdrożeniu łatek.
  3. Przegląd kont i AAA. Sprawdź, czy nie pojawiły się nietypowe konta/uniwersalne hasła, nieautoryzowane zmiany w VTY/AAA/ACL; porównaj running-config vs. startup-config i historię zapisów. Trend opisuje, że rootkit potrafi ukrywać wpisy i fałszować timestampy – przeprowadź offline diff konfiguracji z backupami.
  4. Telemetria i detekcja anomalii.
    • Szukaj nietypowych procesów/połączeń UDP na przełącznikach, ruchu SNMP o niestandardowych rozmiarach/OID-ach i prób ARP spoofingu.
    • Włącz/egzekwuj syslog na zewnętrzny serwer WORM; monitoruj restarty i zmiany konfiguracji.
  5. Forensyka w przypadku podejrzeń. Trend zaleca analizę firmware/ROM oraz IoC z ich publikacji („Operation Zero Disco”). Zaplanuj window serwisowe na inspekcję niskopoziomową urządzeń oraz, jeśli to możliwe, pełny reflash obrazu IOS/IOS XE po factory reset.
  6. Zgodność i wymogi regulacyjne. Jeśli podlegasz amerykańskim regulacjom, uwzględnij wpis w CISA KEV i politykę priorytetyzacji poprawek.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W tej kampanii operatorzy próbowali również modyfikować klasyczny błąd CVE-2017-3881 (Telnet dla IOS/IOS XE) – nie tyle dla natychmiastowego RCE, co do odczytu/zapisu pamięci i wsparcia dla implantu. Taka kombinacja SNMP-RCE + Telnet-memory zwiększa niezawodność i persystencję ataków względem historycznych incydentów opartych wyłącznie na jednym wektorze.

Podsumowanie / kluczowe wnioski

  • CVE-2025-20352 jest realnie wykorzystywana i umożliwia pełne przejęcie (root) przy odpowiednich uprawnieniach SNMP; nawet niższe poziomy skutkują DoS.
  • Kampania „Operation Zero Disco” dostarcza rootkita z kontrolą logów, omijaniem AAA i ukrywaniem konfiguracji – to trwały i trudny do wykrycia atak na przełączniki.
  • Priorytetem jest patching, przejście na SNMPv3, twarde ACL, rotacja poświadczeń i inspekcja niskopoziomowa w środowiskach z sygnałami kompromitacji.

Źródła / bibliografia

  1. Trend Micro – „Operation Zero Disco”: szczegóły exploita SNMP, rootkita, funkcje kontrolera UDP, listy IoC, dotknięte serie urządzeń. (www.trendmicro.com)
  2. Cisco Security Advisory – cisco-sa-snmp-x4LPhte: oficjalny opis luki, status eksploatacji, aktualizacje z 06.10.2025 r. (Cisco)
  3. NVD (NIST) – CVE-2025-20352: opis techniczny (stack overflow), warunki DoS/RCE, wymagane uprawnienia SNMP. (NVD)
  4. CISA – Known Exploited Vulnerabilities (KEV): potwierdzenie dodania CVE-2025-20352 do katalogu KEV. (CISA)
  5. BleepingComputer – informacja prasowa o wykorzystaniu luki do wdrażania rootkita na przełącznikach. (BleepingComputer)

CISA dodaje 5 nowych luk do katalogu KEV (14 października 2025) — co to oznacza dla Twojej organizacji

Wprowadzenie do problemu / definicja luki

14 października 2025 r. amerykańska CISA dodała pięć nowych, aktywnie wykorzystywanych luk do katalogu Known Exploited Vulnerabilities (KEV). Dodanie do KEV oznacza, że istnieją wiarygodne dowody nadużyć „in the wild”, a dla agencji federalnych wyznaczany jest twardy termin remediacji zgodnie z dyrektywą BOD 22-01. W praktyce to także sygnał „patch now” dla sektora prywatnego.

W skrócie

  • Nowe CVE w KEV (5):
    • CVE-2025-24990 — Windows (sterownik Agere Modem, „untrusted pointer dereference”).
    • CVE-2025-47827IGEL OS 10 (obejście Secure Boot przez użycie klucza po dacie ważności).
    • CVE-2025-59230 — Windows Remote Access Connection Manager (podniesienie uprawnień).
    • CVE-2016-7836SKYSEA Client View (zdalne wykonanie kodu, CVSS 9.8).
    • CVE-2025-6264Rapid7 Velociraptor (błędne domyślne uprawnienia → wykonanie poleceń).
  • Dlaczego teraz? Fala wpisów koreluje z październikowym Patch Tuesday (Microsoft) i świeżymi obserwacjami nadużyć (m.in. Velociraptor w incydentach ransomware).
  • Termin (FCEB): dla nowych pozycji z 14.10.2025 CISA wyznacza deadline 4 listopada 2025. To dobra praktyka także dla firm prywatnych.

Kontekst / historia / powiązania

Katalog KEV to „lista wstydu” produktów z lukami, które naprawdę są wykorzystywane. Wpis do KEV wymusza na podmiotach federalnych priorytetową remediację (zwykle w 21 dni), a w wyjątkowych sytuacjach — szybciej. W 2025 r. KEV był wielokrotnie uzupełniany falami po Patch Tuesday oraz po publicznych raportach o nadużyciach (np. ransomware wykorzystujący Velociraptor).

Analiza techniczna / szczegóły luki

1) CVE-2025-24990 — Microsoft Windows (sterownik Agere Modem)

  • Typ/efekt: dereferencja niezaufanego wskaźnika w sterowniku, potencjalne EoP/RCE w zależności od kontekstu wywołania.
  • Kontekst: sterownik jest dostarczany z wieloma wersjami Windows; Microsoft oznaczył problem jako eksploatowany.
  • Działania: usuń/wyłącz sterownik tam, gdzie niepotrzebny; zastosuj poprawki Microsoftu.

2) CVE-2025-47827 — IGEL OS 10 (Secure Boot bypass)

  • Typ/efekt: bypass Secure Boot — użycie klucza po dacie ważności w module igel-flash-driver umożliwia podmianę obrazu rootfs (SquashFS) i uruchomienie niepodpisanego systemu.
  • Wpływ: fizyczny napastnik może osiągnąć trwałą, wczesną persystencję (bootkit).
  • Termin KEV: dodane 14.10 → due 04.11.2025 (wpis CISA odnotowany w NVD).
  • Działania: aktualizacja do IGEL OS v11+; wymuszenie poprawnego łańcucha zaufania i weryfikacji podpisów.

3) CVE-2025-59230 — Windows RASMAN (Elevation of Privilege)

  • Typ/efekt: Improper Access Control → lokalne EoP do SYSTEM.
  • Wektor: lokalny, niski poziom złożoności (AC:L).
  • Działania: wdrożyć poprawki z październikowego Patch Tuesday; uzupełnić detekcje na nietypowe użycia usług RAS.

4) CVE-2016-7836 — SKYSEA Client View (RCE)

  • Typ/efekt: Improper Authentication w połączeniu TCP z konsolą zarządzającą → RCE bez uwierzytelnienia; CVSS 3.x: 9.8 (CRITICAL).
  • Status KEV: dodane 14.10.2025 z terminem 04.11.2025.
  • Działania: aktualizacja powyżej wersji 11.221.03; segmentacja sieci, ograniczenie dostępu do portów zarządzania.

5) CVE-2025-6264 — Rapid7 Velociraptor (default permissions)

  • Typ/efekt: artefakt Admin.Client.UpdateClientConfig nie wymagał dodatkowego uprawnienia; użytkownik z rolą Investigator mógł zdalnie zaktualizować konfigurację klienta i wykonać polecenia → przejęcie endpointu.
  • Kontekst nadużyć: wykorzystywane w realnych atakach (m.in. kampanie ransomware); wpis do KEV z terminem 04.11.2025.
  • Działania: aktualizacja do wersji z łatką; przegląd ról/uprawnień i artefaktów; telemetria na „nietypowe” aktualizacje konfiguracji klienta.

Praktyczne konsekwencje / ryzyko

  • Łańcuchy ataków mieszanych: lokalne EoP w Windows (CVE-2025-59230, CVE-2025-24990) świetnie łączą się z ucieczkami z przeglądarek/aplikacji jako etap 2 eskalacji.
  • Uderzenie w kontrolę rozruchu: obejście Secure Boot (IGEL) umożliwia „pre-EDR” trwałość — klasyczne narzędzie APT i operatorów ransomware.
  • Nadużywanie narzędzi „dobrych”: Velociraptor w rękach napastnika zmniejsza szanse detekcji (Living-off-the-Land Tooling).
  • Dziedzictwo w środowisku: stary SKYSEA (2016) pokazuje, że legacy potrafi wrócić jako „nowo” eksploatowane, jeśli pozostało w ekosystemie.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytet łatania do 4 listopada 2025 (lub szybciej w środowiskach wysokiego ryzyka):
    • Windows: wdrożyć pełny zestaw poprawek z Patch Tuesday (X.2025); osobno usunąć/wyłączyć sterownik Agere tam, gdzie niepotrzebny.
    • IGEL OS: aktualizacja do v11+, weryfikacja implementacji Secure Boot, odświeżenie kluczy.
    • Velociraptor: aktualizacja do wersji z łatką; przegląd ról (odebranie zbędnego COLLECT_CLIENT), ograniczenie artefaktów administracyjnych; monitorowanie nietypowych update’ów konfiguracji.
    • SKYSEA: aktualizacja powyżej 11.221.03; izolacja hostów zarządzania; wymuszenie TLS i list ACL na portach zarządzania.
  2. Detekcja i hunting (propozycje szybkich use-case’ów):
    • Windows EoP: nietypowe uruchomienia/usługi RAS, anomalie w sterownikach, ładowanie ltmdm64.sys (Agere).
    • IGEL: integralność łańcucha rozruchu, zmiany w partycji rozruchowej, niestandardowe obrazy SquashFS.
    • Velociraptor: zdarzenia „UpdateClientConfig”, modyfikacje polityk klienta, uruchomienia powłoki/VS Code z procesu agenta.
  3. Higiena uprawnień i ekspozycji: minimalizacja ról „Investigator” w Velociraptorze; ograniczenie dostępu do konsol (SKYSEA) sieciowo i VPN; app allow-listing dla narzędzi z uprawnieniami systemowymi.
  4. Zarządzanie ryzykiem dostawców/OT: jeśli używasz IGEL lub SKYSEA w środowiskach kiosków/terminali/OT, zaplanuj okno serwisowe i rollback plan — obejście Secure Boot w terminalach może zniweczyć kontrolę zaufania na brzegu.

Różnice / porównania z innymi przypadkami

  • Stara luka, nowe nadużycia: CVE-2016-7836 (SKYSEA) przypomina inne „archeologiczne” wpisy KEV — podatności latami „znane”, ale wciąż wykorzystywane tam, gdzie oprogramowanie przetrwało w niszach.
  • LOLBIN vs. LOTool: w 2024–2025 dużo mówiliśmy o LOLBIN-ach; przypadek Velociraptora to LOTool — legalne narzędzie admina użyte jako wektor ataku (podobnie jak nadużycia RMM/EDR).

Podsumowanie / kluczowe wnioski

  • KEV = kolejka „MUST-DO”: pięć nowych pozycji to czytelny backlog na najbliższe dni.
  • Zwróć uwagę na łańcuch startowy i narzędzia admina (IGEL, Velociraptor) — to wektory o wysokiej wartości dla napastników.
  • Nie zapominaj o legacy: nawet „odległe” CVE (SKYSEA 2016) wracają, jeśli produkt nadal żyje w środowisku.
  • Termin dla FCEB: 4 listopada 2025 — rozsądny SLA także dla sektora prywatnego.

Źródła / bibliografia

  1. CISA — Strona główna (zapowiedź alertu z 14.10.2025). (CISA)
  2. NVD (NIST)CVE-2016-7836 (SKYSEA) — opis, CVSS 9.8, wpis do KEV z terminem 04.11.2025. (NVD)
  3. NVD (NIST)CVE-2025-59230 (Windows RASMAN) — opis EoP. (NVD)
  4. NVD (NIST)CVE-2025-6264 (Rapid7 Velociraptor) — opis błędnych uprawnień. (NVD)
  5. NVD/CVE.org / analizy Patch TuesdayCVE-2025-24990 (Agere driver) — rekord CVE; dodatkowy kontekst eksploatacji i rekomendacji z przeglądu Patch Tuesday (Tenable). (CVE)

Etyka Kontra Moralność W Cyberbezpieczeństwie

Da się ≠ Wolno ≠ Warto

Moralność potrafi usprawiedliwić krzywdę. Etyka stawia granice. To prowokacyjne stwierdzenie każe zastanowić się, czy zawsze to, co uznajemy za moralne, jest naprawdę słuszne. W życiu codziennym, a szczególnie w świecie cyberbezpieczeństwa, granica między tym co można, tym co wolno a tym co warto bywa rozmyta. Specjaliści ds. bezpieczeństwa dysponują ogromnymi możliwościami – potrafią w kilka chwil uzyskać dostęp do poufnych danych lub wyłączyć kluczowe systemy. Dlatego pytanie „czy to zrobić?” nie może kończyć się na „czy potrafię” ani nawet na „czy mam pozwolenie”. Musimy pójść o krok dalej i zapytać: czy warto to zrobić – czy to jest słuszne i odpowiedzialne?.

Czytaj dalej „Etyka Kontra Moralność W Cyberbezpieczeństwie”

Krytyczne Logi Do Monitorowania- Przewodnik Dla Analityków SOC

Wprowadzenie

Logi to cyfrowe ślady każdej aktywności – chronologiczny zapis zdarzeń zachodzących w systemach, sieciach i aplikacjach. W nowoczesnym Centrum Operacji Bezpieczeństwa (SOC) stanowią one fundamentalne źródło wiedzy o stanie bezpieczeństwa infrastruktury IT.

Czytaj dalej „Krytyczne Logi Do Monitorowania- Przewodnik Dla Analityków SOC”

Raport Cyber Benchmark 2023 I Co Z Niego Wynika

Podsumowanie ciekawego raportu

Cyber Benchmark 2023, współtworzony przez firmę Wavestone, dostarcza wnikliwego spojrzenia na aktualny poziom zaawansowania firm w obszarze cyberbezpieczeństwa. W badaniu skupiono się na ponad 100 europejskich przedsiębiorstwach międzynarodowych z różnych sektorów.

Czytaj dalej „Raport Cyber Benchmark 2023 I Co Z Niego Wynika”

Incydenty – O Bezpieczeństwie, Jack Bauer i dlaczego Sędzia Dredd to użyteczna acz mało biznesowa postać

O incydentach dość osobiście

Incydenty bezpieczeństwa, to ten obszar, do którego staram się podejść z dużą dozą pokory, bowiem nie jest to temat trywialny w realizacji, ani tym bardziej do przedstawienia w zwięzły sposób. Ma wiele wymiarów i różnie się go definiuje w zależności od tego kto tym procesem zarządza i w jakiej organizacji jest realizowany.

Czytaj dalej „Incydenty – O Bezpieczeństwie, Jack Bauer i dlaczego Sędzia Dredd to użyteczna acz mało biznesowa postać”

Co Się Składa Na Cybersecurity?

Z czego składa się cyberbezpieczeństwo? 

Cyberbezpieczeństwo to szeroki termin. W jego skład wchodzi wiele rozmaitych dziedzin, na które musi zwrócić uwagę każda osoba chcąca zacząć swoją karierę bezpiecznika. Aby odpowiednio sprawować pieczę nad urządzeniami w danej organizacji, należy skupić się nad wieloma aspektami związanymi z bezpieczeństwem, które opiszę w dalszej części.

Czytaj dalej „Co Się Składa Na Cybersecurity?”