Archiwa: NIST - Strona 21 z 38 - Security Bez Tabu

Tag: NIST

CISA ostrzega: krytyczna luka RCE w SolarWinds Web Help Desk jest aktywnie wykorzystywana (CVE-2025-40551)

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) krytyczną podatność w SolarWinds Web Help Desk (WHD), potwierdzając, że luka jest aktywnie wykorzystywana w atakach. Chodzi o CVE-2025-40551 – błąd typu deserializacja niezaufanych danych (CWE-502), który umożliwia zdalne wykonanie kodu/komend (RCE) bez uwierzytelnienia.

W skrócie

  • CVE: CVE-2025-40551
  • Produkt: SolarWinds Web Help Desk (system ticketowy / ITSM / asset management)
  • Typ: Untrusted Deserialization → unauthenticated RCE (CWE-502)
  • CVSS: 9.8 (krytyczna)
  • Status: aktywnie wykorzystywana (KEV) – dodano 3 lutego 2026
  • Łatka: SolarWinds wydał WHD 2026.1 (28 stycznia 2026)
  • Zasięg: wersje 12.8.8 Hotfix 1 i starsze (wg zestawienia/wytycznych Rapid7)
  • Termin dla FCEB (USA): 6 lutego 2026 (wpis KEV)

Kontekst / historia / powiązania

Web Help Desk jest narzędziem o wysokiej „wartości operacyjnej” – często działa w sieci wewnętrznej, bywa zintegrowany z usługami katalogowymi i ma dostęp do procesów IT. To sprawia, że podatności w WHD regularnie przyciągają atakujących. CISA i media branżowe zwracają uwagę, że WHD był już wcześniej celem realnych kampanii i notował podatności wykorzystywane w praktyce.

W tym samym cyklu poprawek SolarWinds usuwał także inne problemy (m.in. obejścia uwierzytelnienia i kwestie z poświadczeniami), co zwiększa ryzyko „łańcuchowania” błędów w scenariuszach post-exploitation.

Analiza techniczna / szczegóły luki

Istota problemu: CVE-2025-40551 to błąd deserializacji niezaufanych danych (CWE-502), który w praktyce może umożliwić atakującemu doprowadzenie do wykonania poleceń systemowych na hoście bez potrzeby logowania.

Wektor ataku: Zdalny (AV:N), niska złożoność (AC:L), brak wymagań dot. uprawnień (PR:N) i interakcji użytkownika (UI:N) – co odpowiada metryce CVSS publikowanej dla tej luki.

Konkretny obszar aplikacji: według analiz medialnych luka ma występować w funkcjonalności AjaxProxy, w kontekście niewłaściwej walidacji/sanitizacji żądań i obejścia mechanizmu bloklisty (co jest istotne z perspektywy reguł WAF i logowania).

Wersje i poprawka: dostępna jest aktualizacja do SolarWinds Web Help Desk 2026.1; jako podatne wskazywane są wdrożenia 12.8.8 Hotfix 1 i starsze.

Praktyczne konsekwencje / ryzyko

W praktyce „unauth RCE” na systemie typu help desk/ITSM to często wejście do środka organizacji przez narzędzie, które:

  • ma wgląd w zasoby i procesy IT (ticketing, assety),
  • bywa uruchamiane z istotnymi uprawnieniami usługi,
  • jest punktem „pivot” do ruchu lateralnego (np. dostęp do danych o hostach, użytkownikach, integracjach).

Dodanie do KEV oznacza, że eksploity działają w realnych atakach, co statystycznie zwiększa presję czasową: nawet jeśli Twoja instancja nie jest wystawiona do Internetu, ryzyko pozostaje wysokie w środowiskach słabo segmentowanych lub w scenariuszach „initial access → pivot wewnętrzny”.

Rekomendacje operacyjne / co zrobić teraz

  1. Zaktualizuj WHD do 2026.1 natychmiast (to rekomendowana ścieżka mitygacji).
  2. Zidentyfikuj ekspozycję:
    • czy WHD jest dostępny z Internetu,
    • czy reverse proxy/WAF nie przepuszcza żądań do AjaxProxy bez dodatkowych kontroli. (WAF to nie „łatka”, ale może ograniczyć powierzchnię).
  3. Segmentacja i ograniczenia dostępu: WHD powinien być dostępny tylko z sieci administracyjnych/VPN i z minimalnym zestawem źródeł (ACL).
  4. Monitoring i detekcja post-exploitation:
    • nietypowe procesy potomne uruchamiane przez usługę aplikacji,
    • anomalie w żądaniach HTTP do WHD (szczególnie wokół AjaxProxy),
    • nowe konta/zmiany konfiguracji, nieoczekiwane pliki w katalogach aplikacji.
  5. Higiena podatności „w pakiecie”: skoro w tym samym wydaniu łatek pojawiło się więcej krytycznych CVE dla WHD, traktuj aktualizację jako naprawę zestawu ryzyk, nie tylko jednego CVE.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • KEV vs „po prostu CVE”: KEV to sygnał, że podatność nie jest teoretyczna – CISA wskazuje na jej wykorzystanie „in the wild”, a dla administracji federalnej USA wiąże się to z twardymi terminami remediacji (tu: 2026-02-06).
  • Deserializacja (CWE-502): tego typu błędy często prowadzą do niezawodnych łańcuchów RCE przy błędnej walidacji danych wejściowych, dlatego CVSS bywa skrajnie wysoki (tu 9.8).

Podsumowanie / kluczowe wnioski

CVE-2025-40551 w SolarWinds Web Help Desk to krytyczna luka unauthenticated RCE powiązana z deserializacją niezaufanych danych, oficjalnie oznaczona przez CISA jako aktywnie wykorzystywana. Jeśli używasz WHD, priorytetem jest szybka aktualizacja do 2026.1, weryfikacja ekspozycji i wzmocnienie monitoringu pod kątem aktywności post-kompromitacyjnej.

Źródła / bibliografia

  1. BleepingComputer – opis alertu CISA, kontekst łatek WHD 2026.1 i powiązanych CVE (BleepingComputer)
  2. CISA – Known Exploited Vulnerabilities Catalog (wpis CVE-2025-40551, due date 2026-02-06) (cisa.gov)
  3. NVD (NIST) – karta CVE-2025-40551 (opis, CVSS, wektor) (nvd.nist.gov)
  4. Rapid7 – analiza wielu krytycznych podatności WHD i wersji podatnych (12.8.8 HF1 i niżej) (Rapid7)
  5. SecurityWeek – dodatkowe szczegóły techniczne (AjaxProxy, obejście bloklisty) (SecurityWeek)

OpenClaw: luka CVE-2026-25253 umożliwia 1-klikowe RCE przez złośliwy link

Wprowadzenie do problemu / definicja luki

W OpenClaw ujawniono podatność o wysokiej istotności, która pozwala na zdalne wykonanie kodu (RCE) po jednym kliknięciu w link. Błąd otrzymał identyfikator CVE-2026-25253 i ocenę CVSS 8.8 (HIGH).

Łańcuch ataku jest szczególnie niebezpieczny, bo wykorzystuje typowy przepływ w przeglądarce (wejście na stronę) do wykradzenia tokenu uwierzytelniającego, a następnie przejęcia „gateway” narzędzia – co w praktyce może skończyć się pełną kontrolą nad hostem, na którym działa agent.

W skrócie

  • Co jest podatne: wersje OpenClaw przed 2026.1.29.
  • Wektor: użytkownik musi odwiedzić złośliwą stronę / kliknąć link (UI:R w CVSS).
  • Sedno problemu: UI kontrolne ufa parametrowi gatewayUrl z query string i automatycznie łączy się po WebSocket, wysyłając zapisany token.
  • Skutek: kradzież tokenu → operator-level dostęp do gateway API → zmiany konfiguracji i wykonanie kodu na hoście.
  • Naprawa: aktualizacja do 2026.1.29 (wydana 30 stycznia 2026) lub nowszej.

Kontekst / historia / powiązania

OpenClaw to self-hosted agent AI, który potrafi automatyzować działania w systemie (uruchamianie poleceń, praca na plikach, orkiestracja workflow). Taka klasa narzędzi ma „naturalnie” wysoki blast radius — przejęcie sesji operatora zwykle oznacza dostęp do wszystkiego, do czego agent ma uprawnienia.

W tym incydencie kluczowe jest to, że atak nie wymaga bezpośredniego dostępu do hosta ofiary na start — wystarcza przejęcie tokenu z warstwy przeglądarkowej, a resztę „dowozi” API/agent po stronie gateway.

Analiza techniczna / szczegóły luki

1) Zaufanie do gatewayUrl z query string

Opis podatności wskazuje, że aplikacja (Control UI) pobiera gatewayUrl z parametrów URL i używa go do zestawienia połączenia. W wersjach podatnych brakuje walidacji/ograniczeń, przez co atakujący może podstawić własny adres.

2) Automatyczne połączenie WebSocket i „wyciek” tokenu

Najbardziej krytyczny element: UI auto-connectuje po załadowaniu, a w payloadzie połączenia WebSocket wysyła zapisany token gateway. Jeśli gatewayUrl wskazuje na serwer atakującego, token trafia wprost do niego.

3) Co daje token: przejęcie gateway i droga do RCE

Po przechwyceniu tokenu atakujący może połączyć się z instancją OpenClaw ofiary i uzyskać dostęp o poziomie operatora do gateway API, co umożliwia arbitralne zmiany konfiguracji i wykonanie kodu na hoście gateway. W praktyce oznacza to klasyczne „account/session takeover”, ale dla komponentu, który ma bardzo szerokie uprawnienia systemowe.

4) Warunek wstępny (ważne w ocenie ryzyka)

Podatność dotyczy wdrożeń, w których użytkownik zalogował się do Control UI (token istnieje i jest możliwy do wysłania). To typowy warunek dla ataków opartych o kradzież sesji.

Praktyczne konsekwencje / ryzyko

Skutki dla organizacji i użytkowników technicznych są ciężkie:

  • kompromitacja hosta (RCE) i przejęcie środowiska automatyzacji,
  • dostęp do lokalnie przechowywanych danych i poświadczeń, jeśli agent ma do nich uprawnienia,
  • szybka eskalacja do incydentu klasy „full takeover”, bo agent bywa „mostem” do systemów, przeglądarek, plików i integracji.

Warto też podkreślić „operacyjny” aspekt 1-kliku: takie wektory świetnie sklejają się z phishingiem, drive-by oraz kampaniami w mediach społecznościowych, bo kliknięcie linku jest zachowaniem powszechnym i trudnym do wyeliminowania politykami.

Rekomendacje operacyjne / co zrobić teraz

  1. Zaktualizuj do OpenClaw 2026.1.29 lub nowszej wszędzie, gdzie narzędzie jest używane (dev/staging/prod).
  2. Rotacja/rewokacja tokenów i kluczy
    Jeśli w Twoim modelu wdrożenia tokeny są długowieczne, rozważ ich wymuszoną rotację po aktualizacji (aby „stare” wykradzione tokeny przestały działać).
  3. Ogranicz ekspozycję Control UI
  • wystawiaj panel administracyjny tylko za VPN / w sieci wewnętrznej,
  • rozważ dodatkową warstwę uwierzytelnienia (np. reverse proxy z SSO/MFA),
  • stosuj twarde reguły origin/host (allowlist) dla połączeń do gateway.
  1. Hardening po stronie aplikacji (jeśli utrzymujesz fork / wkład w projekt)
  • walidacja gatewayUrl (allowlist domen, schematów, portów),
  • usunięcie auto-connect lub wymuszenie świadomej zgody użytkownika,
  • ograniczenie sposobu przechowywania i wysyłania tokenów (minimalizacja ekspozycji w kontekście przeglądarki).
    To są dokładnie te elementy, które według opisu doprowadziły do eksfiltracji tokenu.
  1. Monitoring i detekcja nadużyć
  • szukaj nietypowych połączeń WebSocket i nieoczekiwanych zmian konfiguracji gateway,
  • koreluj logowania/wykorzystanie tokenów z anomaliami w zadaniach agenta (uruchamianie poleceń, modyfikacje plików),
  • dodaj alerty na „operator-level actions”, jeśli Twoja telemetria to rozróżnia.

Różnice / porównania z innymi przypadkami

CVE-2026-25253 to dobry przykład, że w agentach AI „prawdziwym wrogiem” bywa nie tyle model, co warstwa sterowania i zaufania między komponentami (UI → gateway). Klasyczne błędy webowe (zaufanie do danych wejściowych z URL, automatyczne połączenia, tokeny w nieodpowiednim kontekście) stają się krytyczne, gdy backend ma możliwość wykonywania działań systemowych.

W praktyce to wzorzec: session/token theft w narzędziu o wysokich uprawnieniach daje efekt porównywalny do RCE — bo „legalne” API umożliwia wykonanie tych samych destrukcyjnych czynności, tylko „w białych rękawiczkach”.

Podsumowanie / kluczowe wnioski

  • CVE-2026-25253 to 1-klikowe przejęcie OpenClaw prowadzące do RCE przez eksfiltrację tokenu WebSocket.
  • Problem wynika z połączenia: zaufanie do gatewayUrl + auto-connect + wysyłka tokenu.
  • Aktualizacja do 2026.1.29 jest podstawową mitigacją, a dodatkowo warto utwardzić ekspozycję Control UI i rotować tokeny.

Źródła / bibliografia

  • The Hacker News — opis podatności i informacja o wersji naprawczej. (The Hacker News)
  • CCB Safeonweb — ostrzeżenie i zakres wersji podatnych. (ccb.belgium.be)
  • National Vulnerability Database (NIST) — rekord CVE i metryki. (NVD)
  • runZero — podsumowanie wpływu i zakresu wersji. (runZero)
  • SecurityWeek — opis scenariusza ataku i konsekwencji „gateway takeover”. (SecurityWeek)

Biały Dom wycofuje „uciążliwe” zasady bezpieczeństwa oprogramowania: co oznacza memorandum OMB M-26-05 dla łańcucha dostaw IT

Wprowadzenie do problemu / definicja „luki” w polityce

Zmiana ogłoszona przez Office of Management and Budget (OMB) dotyczy nie klasycznej podatności technicznej, lecz „luki” na poziomie governance: sposobu, w jaki administracja federalna narzuca (lub nie narzuca) minimalne wymagania bezpieczeństwa dostawcom oprogramowania.

W styczniu 2026 r. OMB opublikowało memorandum M-26-05, które formalnie unieważnia wcześniejsze wytyczne z czasów administracji Joe Biden: M-22-18 oraz jego aktualizację M-23-16. Uzasadnienie: poprzednie wymagania miały być „nieudowodnione i uciążliwe” oraz skupione na biurokratycznej zgodności zamiast realnych inwestycji w bezpieczeństwo.

W skrócie

  • Co wycofano? Dwa kluczowe dokumenty polityki: M-22-18 i M-23-16 zostały „rescinded” (uchylone).
  • Co wchodzi w zamian? Podejście risk-based: większa odpowiedzialność po stronie kierownictwa każdej agencji za dobór metod weryfikacji bezpieczeństwa software i hardware w zależności od misji i profilu ryzyka.
  • Czy SBOM i atestacje znikają całkowicie? Nie. OMB wskazuje, że agencje mogą nadal korzystać z zasobów wypracowanych wcześniej (np. formularza atestacji praktyk wytwarzania) oraz mogą wpisywać do umów obowiązek dostarczenia SBOM „na żądanie”.
  • Nowy akcent: silniejsze uwzględnienie ryzyk sprzętowych (hardware supply chain) i odniesienia do HBOM.

Kontekst / historia / powiązania

M-23-16 (2023) było aktualizacją M-22-18 i wynikało z kierunku wyznaczonego przez Executive Order 14028 (poprawa cyberbezpieczeństwa państwa i bezpieczeństwa łańcucha dostaw). W praktyce te dokumenty miały doprowadzić do tego, aby agencje federalne używały wyłącznie takiego oprogramowania, którego producenci są w stanie poświadczyć spełnianie minimalnych praktyk bezpiecznego wytwarzania.

Mechanika wdrożenia była mocno „procesowa”: terminy, zakres oprogramowania, a także wspólny formularz (common form) przygotowywany z udziałem Cybersecurity and Infrastructure Security Agency (CISA). M-23-16 precyzowało m.in. harmonogram zbierania atestacji w zależności od zatwierdzenia formularza w reżimie Paperwork Reduction Act (PRA).

W 2026 r. OMB przechodzi na narrację: „mniej uniwersalnej checklisty, więcej dopasowania do ryzyka”, podkreślając, że nie ma jednego, „one-size-fits-all” modelu zapewnienia bezpieczeństwa dla wszystkich agencji.

Analiza techniczna / szczegóły zmiany

1. Co wymuszały M-22-18 / M-23-16 (w praktyce)

Z punktu widzenia inżynierii bezpieczeństwa i zakupów IT, sednem była atestacja praktyk SDLC przez producenta oprogramowania. M-23-16 opisywało, że agencje mają zbierać atestacje od producentów (w tym dla „critical software”) w określonych terminach po zatwierdzeniu wspólnego formularza.

Istotne było też doprecyzowanie, że odpowiedzialność za zgodność praktyk rozciąga się na sposób zarządzania komponentami third-party (w tym open source) na poziomie producenta produktu końcowego – a nie na poziomie każdej agencji.

2. Co mówi M-26-05: „risk-based” zamiast „universal compliance”

Nowe memorandum M-26-05:

  • stwierdza, że wcześniejsze wymagania narzucały „burdensome software accounting processes” i odciągały agencje od tworzenia dopasowanych wymagań assurance,
  • unieważnia M-22-18 i M-23-16,
  • utrzymuje oczekiwanie posiadania kompletnego inwentarza software i hardware, ale przenosi ciężar doboru mechanizmów weryfikacji na agencje.

3. Co zostaje jako narzędzia opcjonalne: atestacja, SBOM, HBOM

M-26-05 wprost wskazuje, że agencje:

  • mogą nadal używać zasobów „government-wide secure software development resources” (w tym formularza atestacji praktyk bezpiecznego wytwarzania),
  • mogą wprowadzać do kontraktów zapis o dostarczeniu SBOM na żądanie (w tym szczególna uwaga dla środowisk chmurowych – SBOM środowiska runtime/production),
  • mają też brać pod uwagę ryzyka sprzętowe oraz odwołania do HBOM.

4. Gdzie w tym wszystkim jest SSDF (NIST SP 800-218)

Nawet jeśli obowiązek „federalnej checklisty” zostaje cofnięty, sam rdzeń dobrych praktyk bezpiecznego wytwarzania nie znika. National Institute of Standards and Technology (NIST) opisuje SSDF jako zestaw fundamentalnych praktyk bezpiecznego wytwarzania, zorganizowany w cztery grupy (przygotowanie organizacji, ochrona software, wytwarzanie bezpiecznego software, reakcja na podatności). SSDF ma być „wspólnym językiem” dla producentów i nabywców, a nie wyłącznie checklistą do odhaczania.

W praktyce oznacza to, że SSDF nadal jest sensowną bazą do programów assurance — tylko presja regulacyjna może się przenieść z „musisz użyć dokładnie tego formularza” na „udowodnij adekwatność kontroli do ryzyka”.

Praktyczne konsekwencje / ryzyko

Dla agencji federalnych

  • Większa swoboda, ale i większa odpowiedzialność: skoro nie ma jednego schematu, rośnie ryzyko nierównego poziomu wymagań między agencjami (fragmentacja) i trudniejszego porównywania dostawców.
  • Ryzyko „wyścigu do dna” w zakupach: jeśli część jednostek potraktuje zmianę jako okazję do obniżenia wymagań, ucierpieć może spójność ochrony łańcucha dostaw. (To wniosek analityczny na podstawie kierunku polityki „opcjonalności” narzędzi).

Dla dostawców oprogramowania (software producers)

  • Mniej jednolitego compliance, więcej odpowiedzi na RFP-y „szyte na miarę”: zamiast jednego pakietu atestacji dla całego rządu, mogą pojawić się różne zestawy wymagań assurance zależnie od agencji.
  • SBOM „na żądanie” dalej ma znaczenie: to nie jest sygnał „SBOM niepotrzebny”, tylko „SBOM jako narzędzie kontraktowe i operacyjne, niekoniecznie jako twardy wymóg wszędzie”.

Dla bezpieczeństwa ekosystemu (systemowo)

  • Plus: lepsze dopasowanie kontroli do realnego ryzyka (szczególnie dla systemów o specyficznej misji i ograniczeniach).
  • Minus: utrata efektu skali i standaryzacji, który bywa kluczowy w łańcuchu dostaw (wspólny język wymagań, wspólny formularz, łatwiejszy due diligence).

Rekomendacje operacyjne / co zrobić teraz

Jeśli jesteś dostawcą (vendor / producent oprogramowania)

  1. Utrzymaj SSDF jako kręgosłup programu secure SDLC – nawet jeśli formularz atestacji nie jest już „must-have” wszędzie, SSDF pozostaje najlepszą bazą do rozmowy z nabywcą o kontrolach i dojrzałości.
  2. Przygotuj „pakiet dowodowy” (assurance evidence pack):
    • mapowanie praktyk SDLC do SSDF,
    • opis środowiska build i mechanizmów integralności,
    • procesy VDP/PSIRT, SLA na poprawki, polityka podpisywania artefaktów.
  3. SBOM/HBOM jako produkt uboczny procesu, nie „excel na koniec”: skoro SBOM może być wymagany „upon request”, warto mieć pipeline do generowania i aktualizacji (dla chmury także dla runtime).

Jeśli jesteś po stronie kupującego / security w organizacji publicznej

  1. Zdefiniuj minimalny baseline (nawet jeśli prawo nie narzuca jednego): bez niego risk-based łatwo przeradza się w ad-hoc. OMB podkreśla potrzebę inwentarza i dopasowania assurance do ryzyka – zacznij od klasyfikacji systemów i danych.
  2. Zbuduj wymagania kontraktowe warstwowo:
    • baseline (SSDF-ish),
    • rozszerzenia dla systemów krytycznych,
    • wymagania SBOM na żądanie + format + częstotliwość aktualizacji.
  3. Nie pomijaj hardware: M-26-05 wyraźnie rozszerza akcent na ryzyka sprzętowe – uwzględnij je w ocenie dostawców, logistyce, cyklu życia urządzeń i w monitoringu.

Różnice / porównania z innymi przypadkami

„Compliance-first” (M-22-18/M-23-16) vs „Risk-based” (M-26-05)

  • Compliance-first: jednolita forma atestacji i harmonogramy → łatwiejsza standaryzacja i porównywanie dostawców, ale ryzyko przerostu papierologii.
  • Risk-based: większa elastyczność i dopasowanie do misji → potencjalnie bardziej „inżynierskie” security, ale wyższe ryzyko niespójności wymagań i różnego poziomu dojrzałości w agencjach.

W praktyce dojrzałe organizacje kończą zwykle na modelu hybrydowym: baseline (SSDF) + risk-based rozszerzenia.

Podsumowanie / kluczowe wnioski

Memorandum M-26-05 to istotny zwrot w federalnym podejściu do bezpieczeństwa łańcucha dostaw: od centralnie standaryzowanych atestacji i terminów ku modelowi, w którym każda agencja ma sama dobrać mechanizmy assurance dla oprogramowania i sprzętu.

Najważniejsze: wycofanie wymogów nie oznacza, że SSDF, SBOM czy atestacje „przestają istnieć” — stają się narzędziami opcjonalnymi i kontraktowymi. Dla dostawców to sygnał, by budować dowody dojrzałości secure SDLC (SSDF), a dla kupujących — by nie gubić standaryzacji i utrzymać minimalny baseline w modelu risk-based.

Źródła / bibliografia

  1. SecurityWeek — artykuł: „White House Scraps ‘Burdensome’ Software Security Rules” (30 stycznia 2026). (SecurityWeek)
  2. Office of Management and Budget (OMB) — Memorandum M-26-05 „Adopting a Risk-based Approach to Software and Hardware Security” (23 stycznia 2026).
  3. OMB — Memorandum M-23-16 „Update to Memorandum M-22-18…” (9 czerwca 2023).
  4. National Institute of Standards and Technology (NIST) — strona projektu SSDF (SP 800-218) i opis struktury praktyk. (csrc.nist.gov)
  5. Federal Register — ogłoszenie dot. konsultacji publicznych nt. „2025 Minimum Elements for a Software Bill of Materials (SBOM)” (kontekst SBOM). (Federal Register)

WinRAR: podatność path traversal CVE-2025-8088 nadal masowo wykorzystywana — jak działa łańcuch ataku i co zrobić teraz

Wprowadzenie do problemu / definicja luki

CVE-2025-8088 to podatność typu path traversal w WinRAR dla Windows, która pozwala atakującym zapisać pliki poza katalogiem wskazanym przez użytkownika podczas rozpakowywania. W praktyce oznacza to możliwość „podrzucenia” złośliwego pliku w lokalizacji uruchamianej automatycznie (np. Windows Startup) i uzyskania wykonania kodu przy spełnieniu warunku interakcji użytkownika (otwarcie/rozpakowanie spreparowanego archiwum).

Co ważne: chociaż poprawka jest dostępna od lipca 2025, najnowsze raporty pokazują, że luka jest nadal intensywnie wykorzystywana przez wiele grup — od aktorów państwowych po cyberprzestępców „commodity”.

W skrócie

  • Co to jest: path traversal w WinRAR/UnRAR na Windows (CWE-35).
  • Jak jest wykorzystywane: przez Alternate Data Streams (ADS) na NTFS do ukrycia i wypakowania payloadu w niezamierzone miejsce (często Startup).
  • Kogo dotyczy: WinRAR/UnRAR i komponenty na Windows (m.in. UnRAR.dll) — platformy Linux/Unix i Android nie są dotknięte.
  • Status: aktywna eksploatacja obserwowana od 18 lipca 2025 i nadal trwająca (raporty z 27 stycznia 2026).
  • Mitigacja: aktualizacja do WinRAR 7.13+ oraz przegląd zależności (UnRAR.dll) w innych produktach.

Kontekst / historia / powiązania

Podatność została wykryta i zgłoszona przez badaczy ESET, a WinRAR opublikował poprawkę w linii 7.13 (wersja final 30.07.2025; notki aktualizowane 12.08.2025).

W styczniu 2026 Google Threat Intelligence Group (GTIG) opisał problem jako klasyczny przykład „n-day”, który mimo dostępnej łatki pozostaje skuteczny, bo:

  • użytkownicy często nie aktualizują WinRAR (brak automatycznych aktualizacji w typowych wdrożeniach),
  • a wektor „archiwum + socjotechnika” jest tani i powtarzalny dla wielu grup.

Analiza techniczna / szczegóły luki

Mechanizm: path traversal + ADS (NTFS)

CVE-2025-8088 wykorzystuje Alternate Data Streams (ADS) — cechę NTFS pozwalającą dołączać „strumienie” danych do pliku w sposób mało widoczny dla użytkownika. Atakujący przygotowuje archiwum tak, aby zawierało plik-przynętę (np. dokument), a właściwy payload był ukryty w ADS.

Następnie, podczas podglądu/otwarcia pliku z archiwum lub rozpakowywania, WinRAR:

  1. rozpakowuje plik-przynętę (żeby ofiara widziała „normalny” dokument),
  2. równolegle rozpakowuje ADS-y, a dzięki obejściu ścieżki docelowej może je zrzucić poza wybrany katalog.

Typowe payloady i post-exploitation

W obserwowanych kampaniach wypakowywane były m.in. LNK, HTA, BAT, CMD i inne skrypty/artefakty, które uruchamiają kolejne etapy infekcji (np. przy logowaniu). Szczególnie atrakcyjny jest zrzut do Windows Startup folder — daje to persistence „bez fajerwerków”.

Ocena ryzyka (NVD)

NVD opisuje podatność jako umożliwiającą wykonanie dowolnego kodu po spreparowaniu archiwum i interakcji użytkownika; wektor CVSS v3.1 wskazuje m.in. UI:R (wymagana akcja użytkownika), ale z pełnym wpływem na poufność/integralność/dostępność.

Praktyczne konsekwencje / ryzyko

Największe ryzyko wynika z połączenia trzech czynników:

  1. Masowość: raporty z 27.01.2026 mówią o wielu aktorach i różnych ładunkach (od RAT-ów po stealery).
  2. „Niewidzialność” dla użytkownika: ofiara widzi poprawny dokument, a złośliwe ADS-y są „w tle”.
  3. Persistence bez exploitów kernelowych: zrzut do Startup daje trwałość po restarcie/logowaniu.

GTIG wskazuje, że oprócz grup powiązanych z państwami (m.in. obserwowane operacje przypisywane aktorom powiązanym z Rosją/Chinami), podatność jest wykorzystywana także przez cyberprzestępców do dystrybucji popularnych narzędzi zdalnego dostępu i stealerów (np. AsyncRAT, XWorm).

Rekomendacje operacyjne / co zrobić teraz

1) Aktualizacja i inwentaryzacja (najważniejsze)

  • Zaktualizuj WinRAR do 7.13 lub nowszej.
  • Zidentyfikuj, gdzie w organizacji występują komponenty UnRAR.dll / UnRAR (często są „zagnieżdżone” w innych aplikacjach, instalatorach, narzędziach backupowych) i zaktualizuj zależności.

2) Ogranicz skutki socjotechniki

  • Blokuj/izoluj archiwa z nieznanych źródeł (brama mailowa, sandbox).
  • Wrażliwe zespoły (finanse, HR, logistyka, zarząd) — dodatkowe reguły dla załączników RAR/ZIP, zwłaszcza w kampaniach spearphishing. (To wpisuje się w obserwowany model ataku opisany przez ESET/GTIG).

3) Hardening punktów uruchomieniowych

  • Monitoruj i ogranicz możliwość zapisu do lokalizacji persistence, w szczególności ścieżek powiązanych z Startup.
  • Zaostrz polityki uruchamiania dla LNK/HTA/skryptów z katalogów użytkownika i TEMP (SRP/AppLocker/WDAC — zależnie od środowiska).

4) Detekcja i hunting

  • Wykorzystaj informacje i IOCs opublikowane przez GTIG do polowań (jeśli prowadzisz threat hunting / SOC).
  • Koreluj zdarzenia: rozpakowanie archiwum → powstanie plików typu LNK/HTA/BAT/CMD w nietypowych ścieżkach → uruchomienie przy logowaniu.

Różnice / porównania z innymi przypadkami

WinRAR podkreśla, że CVE-2025-8088 jest odrębna od wcześniejszej podatności naprawionej w 7.12.
ESET dodatkowo wskazuje podobną podatność path traversal CVE-2025-6218 ujawnioną około miesiąc wcześniej (czerwiec 2025), co pokazuje, że klasa błędów w obsłudze ścieżek i archiwów była w tym okresie szczególnie „gorąca” i atrakcyjna dla atakujących.

Podsumowanie / kluczowe wnioski

  • CVE-2025-8088 to praktyczny, „wdzięczny” exploit chain: archiwum + ADS + path traversal → zrzut do Startup → persistence → dalsza infekcja.
  • Najnowsze dane (27.01.2026) potwierdzają ciągłą eksploatację przez szeroki przekrój aktorów.
  • Największym problemem nie jest brak patcha, tylko opóźnione aktualizacje i „ukrycie” zależności (UnRAR.dll) w innych produktach.

Źródła / bibliografia

  1. BleepingComputer — „WinRAR path traversal flaw still exploited by numerous hackers” (27.01.2026). (BleepingComputer)
  2. Google Threat Intelligence Group — „Diverse Threat Actors Exploiting Critical WinRAR Vulnerability CVE-2025-8088” (27.01.2026). (Google Cloud)
  3. NVD (NIST) — wpis podatności CVE-2025-8088. (NVD)
  4. RARLAB / win-rar.com — „WinRAR 7.13 Final released” (release notes + zakres wpływu). (WinRAR download free and support)
  5. ESET WeLiveSecurity — „Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability” (analiza ADS i timeline). (welivesecurity.com)

Ponad 6 tys. serwerów SmarterMail narażonych na automatyczne przejęcia kont admina (CVE-2026-23760)

Wprowadzenie do problemu / definicja luki

SmarterMail (serwer pocztowy i platforma współpracy od SmarterTools) znalazł się na celowniku masowych, zautomatyzowanych ataków po ujawnieniu krytycznej luki CVE-2026-23760. Błąd pozwala bez uwierzytelnienia przejąć konto administratora poprzez nieprawidłowo zaprojektowane API resetu hasła, a następnie – dzięki wbudowanym funkcjom administracyjnym – doprowadzić do zdalnego wykonania poleceń na hoście (RCE).

Równolegle organizacje typu Shadowserver raportowały tysiące instancji wystawionych do internetu, które wyglądały na podatne, a analitycy obserwowali już ataki „in the wild”.

W skrócie

  • CVE-2026-23760: obejście uwierzytelnienia w API resetu hasła; dotyczy wersji przed build 9511.
  • Wektor: POST /api/v1/auth/force-reset-password akceptuje żądania anonimowe i w krytycznej ścieżce dla sysadmina nie weryfikuje starego hasła / tokenu resetu.
  • Skutek: przejęcie konta admina → szybka eskalacja do RCE/SYSTEM przez funkcje administracyjne (np. wykonywanie komend).
  • Eksploatacja była obserwowana masowo i automatycznie (sekwencje żądań API, tworzenie „System Events”, sprzątanie śladów).
  • Skala: raportowano >6 000 publicznie dostępnych serwerów potencjalnie narażonych.

Kontekst / historia / powiązania

CVE-2026-23760 wypłynęło krótko po innej krytycznej luce w SmarterMail (CVE-2025-52691), co podbiło zainteresowanie atakujących (i presję na zespoły IT). BleepingComputer opisał sytuację jako serię zdarzeń: zgłoszenie, szybka poprawka, a następnie szybka adaptacja eksploitu i skanowanie internetu w poszukiwaniu podatnych serwerów.

Istotny kontekst operacyjny: w przypadku serwerów pocztowych ekspozycja na internet jest często „z definicji” (webmail, panel admina, API), więc okno czasowe między patchem a masową eksploatacją bywa wyjątkowo krótkie. SecurityWeek cytował watchTowr, że poprawka została szybko przeanalizowana (reverse engineering) i zaczęła być wykorzystywana na szeroką skalę.

Analiza techniczna / szczegóły luki

1) Root cause: reset hasła admina bez dowodu tożsamości

watchTowr opisał problem jako błąd w logice resetu hasła: endpoint force-reset-password jest dostępny anonimowo (co samo w sobie bywa normalne dla resetów), ale ścieżka dla kont sysadmin pozwala podać Username i NewPassword bez weryfikacji OldPassword lub tokenu resetu.

W praktyce: jeśli atakujący zna (lub zgadnie) nazwę konta administratora (często „admin”), może zresetować hasło i zalogować się jako administrator.

2) Od przejęcia konta do RCE – dwie obserwowane ścieżki

  • Ścieżka A (watchTowr): po przejęciu sysadmina możliwe jest doprowadzenie do wykonania poleceń systemowych przez wbudowane funkcje administracyjne (watchTowr opisał drogę przez ustawienia i mechanizm, który finalnie uruchamia komendę na hoście).
  • Ścieżka B (Huntress): w atakach „in the wild” widziano użycie funkcji System Events – napastnik po zdobyciu tokena dostępu tworzył złośliwy event-hook, wyzwalał go (np. dodaniem domeny), a potem wykonywał działania porządkowe (kasowanie domeny i hooka).

3) Sygnały masowej automatyzacji

Huntress pokazał typową sekwencję żądań API obserwowaną u wielu ofiar w krótkich odstępach czasu (co wygląda na automatyczne skrypty), zaczynając od wymuszenia resetu hasła, potem autoryzacji i konfiguracji mechanizmów do wykonania komend.

Praktyczne konsekwencje / ryzyko

Przejęty serwer SmarterMail to zwykle „klucz do królestwa” poczty:

  • dostęp do skrzynek, korespondencji i danych wrażliwych,
  • możliwość podszywania się (phishing/BEC), reguły przekierowań, utrwalanie dostępu,
  • infrastruktura do dalszych ataków (malware, pivot w sieci, kradzież poświadczeń),
  • ryzyko incydentu zgodności (RODO), reputacji i ciągłości działania.

NVD wprost wskazuje, że uprawnienia sysadmina w SmarterMail mogą przekładać się na administracyjne uprawnienia na hoście (SYSTEM/root) dzięki wbudowanym funkcjom zarządzania – co z perspektywy IR oznacza traktowanie takiego zdarzenia jak pełne przejęcie serwera.

Rekomendacje operacyjne / co zrobić teraz

1) Patch i weryfikacja wersji

  • Zaktualizuj do build 9511 lub nowszego (wszystko „przed 9511” jest wprost wskazywane jako podatne).

2) Jeśli nie możesz zaktualizować natychmiast (awaryjnie)

  • ogranicz dostęp do panelu/web API (VPN/allowlista IP, przynajmniej dla interfejsu administracyjnego),
  • rozważ tymczasowe reguły reverse proxy/WAF ograniczające dostęp do ścieżek API resetu hasła (uwaga: to obejście, nie „fix”),
  • włącz monitoring anomalii na endpointach /api/v1/auth/* i akcjach administracyjnych.

3) „Assume breach” – szybkie polowanie i IR

Szukaj w logach (proxy / aplikacyjnych) nietypowych żądań:

  • POST /api/v1/auth/force-reset-password oraz dalszych sekwencji API,
  • tworzenia/edycji System Events / event-hooków i operacji dodania/usunięcia domen (pattern z Huntress).

IOCs/sygnały (wg Huntress):

  • powtarzające się, szybkie sekwencje żądań API,
  • user-agent python-requests/2.32.4 widziany w atakach,
  • artefakt plikowy wskazywany w analizie Huntress (plik z wynikami rozpoznania).

4) Higiena po incydencie

  • reset haseł kont uprzywilejowanych (i rotacja kluczy/sekretów, jeśli serwer miał dostęp do innych systemów),
  • przegląd reguł przekazywania poczty, integracji i webhooków,
  • sprawdzenie trwałości (scheduled tasks, usługi, web-shelle, nieznane binaria),
  • segmentacja i minimalizacja ekspozycji usług zarządzających.

Różnice / porównania z innymi przypadkami

Warto odróżnić dwie głośne luki SmarterMail z przełomu stycznia:

  • CVE-2026-23760 – „czyste” przejęcie admina przez reset hasła bez weryfikacji (API), a potem RCE jako konsekwencja uprawnień admina i funkcji administracyjnych.
  • CVE-2025-52691 – wcześniejsza, krytyczna podatność pre-auth (opisywana jako droga do RCE na niezałatanych serwerach), wspominana w kontekście tej fali ataków.

Operacyjnie: w CVE-2026-23760 kluczowe jest, że atakujący może „wejść drzwiami frontowymi” jako admin (zmieniając hasło), co utrudnia detekcję, jeśli organizacja monitoruje wyłącznie klasyczne wskaźniki exploitów RCE.

Podsumowanie / kluczowe wnioski

  • CVE-2026-23760 to krytyczny błąd projektowy w API resetu hasła, który umożliwia przejęcie konta sysadmina i w praktyce prowadzi do pełnego kompromisu serwera.
  • Skala ekspozycji jest duża (tysiące instancji wystawionych do internetu), a eksploatacja była obserwowana jako zautomatyzowana.
  • Najważniejsze działania: aktualizacja do build 9511+, ograniczenie ekspozycji panelu/API oraz szybkie threat hunting pod kątem sekwencji API i nadużyć System Events.

Źródła / bibliografia

  • BleepingComputer – o skali ekspozycji i trwających atakach (BleepingComputer)
  • NVD (NIST) – opis CVE-2026-23760, wersje podatne, charakter wpływu (NVD)
  • watchTowr Labs – analiza techniczna root cause i PoC dla force-reset-password (watchTowr Labs)
  • Huntress – obserwacje ataków „in the wild”, sekwencje API i IOCs (Huntress)
  • SecurityWeek – kontekst masowej eksploatacji i mechaniki nadużyć (SecurityWeek)

Krytyczna luka „sandbox escape” w vm2 dla Node.js (CVE-2026-22709) – jak działa i co zrobić natychmiast

Wprowadzenie do problemu / definicja luki

vm2 to popularna biblioteka do uruchamiania niezaufanego JavaScriptu w „piaskownicy” (sandboxie) w środowisku Node.js. Jej typowy cel to umożliwienie wykonywania kodu użytkownika bez dostępu do systemu plików czy API hosta.

W praktyce okazało się, że w vm2 wykryto krytyczną podatność typu sandbox escape oznaczoną jako CVE-2026-22709. Pozwala ona napastnikowi uciec z izolacji i wykonać dowolny kod na hoście (RCE) – czyli dokładnie złamać fundamentalne założenie „bezpiecznej piaskownicy”.

W skrócie

  • Identyfikator: CVE-2026-22709
  • Wektor: obejście mechanizmu sanitizacji callbacków dla Promise.then() / Promise.catch()
  • Skutek: sandbox escape → RCE na hoście
  • Wersje podatne: vm2 przed 3.10.2
  • Naprawa: aktualizacja do ≥ 3.10.2 (w praktyce najlepiej do najnowszej wersji z gałęzi 3.10.x)
  • Ocena ryzyka: CVSS 9.8 (Critical) wg CNA (GitHub)

Kontekst / historia / powiązania

vm2 jest szeroko używane m.in. w platformach SaaS pozwalających użytkownikom uruchamiać własne skrypty, runnerach kodu online czy botach/czatbotach. BleepingComputer podaje skalę użycia rzędu 200k+ projektów na GitHub oraz około ~1 mln pobrań tygodniowo w npm.

Jednocześnie vm2 ma historię kolejnych ucieczek z sandboxa. W 2023 r. głośne były m.in. CVE-2023-29017 oraz CVE-2023-30547 – obie klasy „sandbox escape”.
Według BleepingComputer projekt był nawet wstrzymany w 2023 r. z powodu powtarzających się problemów, a później „wskrzeszony” (powrót rozwoju i wersji 3.10.x).

Analiza techniczna / szczegóły luki

Sedno problemu to niekonsekwentna sanitizacja callbacków przypinanych do obietnic (Promises):

  • vm2 sanitizuje callbacki dla swojej „lokalnej” implementacji obietnic (w uproszczeniu: localPromise.prototype.then),
  • ale nie obejmuje tym samym mechanizmem „globalnych” Promise (tj. globalPromise.prototype.then),
  • a ponieważ wartości zwracane z async funkcji są oparte o globalny Promise, atakujący może doprowadzić do wykonania callbacka w sposób umożliwiający wyrwanie się do kontekstu hosta.

W praktyce publicznie pokazano PoC, w którym poprzez manipulację obsługą błędu i uzyskanie dostępu do konstruktorów (np. Function) da się finalnie doprowadzić do uruchomienia polecenia systemowego na hoście (np. przez child_process).

Status poprawek (ważne operacyjnie):

  • wg maintenera podatność była częściowo zaadresowana w 3.10.1,
  • a 3.10.2 „domknęło” fix tak, aby uniknąć możliwego obejścia.

Praktyczne konsekwencje / ryzyko

Jeśli Twoja aplikacja używa vm2 do uruchamiania jakiegokolwiek kodu pochodzącego od użytkownika lub z nie w pełni zaufanego źródła, konsekwencje mogą obejmować:

  • przejęcie serwera/aplikacji (RCE),
  • kradzież sekretów (zmienne środowiskowe, tokeny CI/CD, klucze API),
  • pivot do sieci wewnętrznej,
  • modyfikację danych i łańcuchy ataków supply chain (np. modyfikacja artefaktów build).

Co istotne: wektor CVSS wskazuje m.in. AV:N oraz brak wymogu uprawnień i interakcji użytkownika (wg CNA/GitHub), co w praktyce oznacza, że scenariusze zdalne są realne w wielu wdrożeniach.

Rekomendacje operacyjne / co zrobić teraz

  1. Zrób szybki inventory zależności
    • Sprawdź, czy vm2 jest zależnością bezpośrednią lub transytywną (np. npm ls vm2, SBOM, skan SCA).
  2. Zaktualizuj vm2 do wersji bezpiecznej
    • Minimum ≥ 3.10.2 (a najlepiej do najnowszej wersji w 3.10.x).
  3. Jeśli nie możesz zaktualizować „tu i teraz” – załóż, że sandbox jest zawodny
    • Uruchamiaj niezaufany kod w oddzielnym procesie/serwisie z twardą izolacją (kontener/VM), bez dostępu do sekretów i z minimalnymi uprawnieniami.
    • Ogranicz egress (firewall), włącz profile typu AppArmor/SELinux/seccomp tam, gdzie to możliwe.
  4. Wdróż detekcję i kontrolę ryzyka
    • Monitoruj anomalie procesów (uruchomienia node, sh, bash, child_process), nietypowe połączenia sieciowe, zmiany plików.
  5. Rozważ alternatywę architektoniczną
    • Jeśli Twoim wymaganiem jest uruchamianie niezaufanego kodu, traktuj vm2 jako element wysokiego ryzyka i preferuj podejścia „defense-in-depth” (izolacja na poziomie OS, osobny worker pool, sandboxing poza jednym procesem Node). Kontekst „wracających ucieczek” w vm2 jest dobrze udokumentowany.

Różnice / porównania z innymi przypadkami

  • CVE-2026-22709 dotyczy wprost Promises i sanitizacji callbacków (then/catch) oraz różnicy między promise „lokalnym” a „globalnym” w kontekście async.
  • Wcześniejsze głośne podatności (np. CVE-2023-29017, CVE-2023-30547) również prowadziły do sandbox escape, ale wynikały z innych mechanizmów (np. obsługa wyjątków / sanitizacja wyjątków).

Wniosek praktyczny: nawet jeśli „załataliście” jedną klasę bypassu, model zagrożeń dla vm2 powinien zakładać kolejne obejścia, dlatego izolacja warstwowa (process/container/VM) jest kluczowa.

Podsumowanie / kluczowe wnioski

  • CVE-2026-22709 to krytyczny sandbox escape w vm2, umożliwiający RCE na hoście.
  • Podatne są wersje przed 3.10.2; fix został domknięty w 3.10.2.
  • Jeśli vm2 obsługuje kod użytkownika lub dane, które mogą zostać „przemycone” do wykonywanego JS, priorytetem jest natychmiastowy upgrade i izolacja defense-in-depth.

Źródła / bibliografia

  1. BleepingComputer – opis podatności, kontekst popularności i historia vm2 (BleepingComputer)
  2. NVD (NIST) – rekord CVE-2026-22709 i opis mechanizmu podatności (NVD)
  3. GitHub Advisory Database – GHSA-99p7-6v5w-7xg8, metryki i techniczne detale/PoC (GitHub)
  4. Semgrep Blog – omówienie ryzyka i rekomendacja aktualizacji do 3.10.2 (semgrep.dev)
  5. Snyk Vulnerability Database – widok wersji i statusu podatności w najnowszych wydaniach (VulnInfo Guide)

FG-IR-26-060 / CVE-2026-24858: krytyczne obejście uwierzytelniania FortiCloud SSO w FortiOS, FortiManager i FortiAnalyzer

Wprowadzenie do problemu / definicja luki

Fortinet opublikował advisory PSIRT o numerze FG-IR-26-060 (data publikacji: 27 stycznia 2026) dotyczący krytycznej podatności w mechanizmie FortiCloud Single Sign-On (SSO), umożliwiającej obejście uwierzytelniania administracyjnego w produktach FortiOS, FortiManager oraz FortiAnalyzer.

Podatność ma identyfikator CVE-2026-24858 i jest klasyfikowana jako Authentication Bypass Using an Alternate Path or Channel (CWE-288) — czyli sytuacja, w której produkt „wymaga logowania”, ale istnieje alternatywna ścieżka prowadząca do skutecznego uwierzytelnienia bez prawidłowej weryfikacji.

W skrócie

  • CVE: CVE-2026-24858 (krytyczna; Fortinet/CNA: CVSS 9.8)
  • Dotknięte produkty: FortiOS / FortiManager / FortiAnalyzer (w określonych zakresach wersji) (
  • Warunek ataku: włączone FortiCloud SSO (logowanie admina przez FortiCloud); atakujący musi posiadać konto FortiCloud i zarejestrowane urządzenie
  • Status: obserwowano aktywne wykorzystanie w środowiskach produkcyjnych; Fortinet czasowo ograniczał działanie FortiCloud SSO, a następnie przywrócił je z blokadą logowań z podatnych wersji firmware

Kontekst / historia / powiązania

W grudniu 2025 Fortinet opisywał wcześniejsze problemy związane z omijaniem FortiCloud SSO (m.in. CVE-2025-59718 i CVE-2025-59719). Nowy incydent był początkowo postrzegany jako „powrót” tamtego wektora, jednak Fortinet wskazał przypadki naruszeń na urządzeniach, które były już zaktualizowane zgodnie z wcześniejszym advisory — co zasugerowało istnienie nowej ścieżki ataku (alternate path).

Z perspektywy IR ważna jest też oś czasu działań dostawcy: Fortinet wskazał m.in. blokowanie nadużywanych kont i czasowe wyłączenie FortiCloud SSO po stronie chmury, a następnie przywrócenie usługi z ograniczeniem dla podatnych wersji.

Analiza techniczna / szczegóły luki

Na czym polega problem

Opis CVE sprowadza się do ryzyka naruszenia izolacji między tenantami/klientami w przepływie FortiCloud SSO: atakujący z kontem FortiCloud i zarejestrowanym urządzeniem może w pewnych warunkach zalogować się administracyjnie do urządzeń zarejestrowanych na inne konta, jeśli na tych urządzeniach włączono FortiCloud SSO dla admina.

Co widać w telemetrii

Fortinet opublikował przykładowe wskaźniki i logi, które pomagają odróżnić „normalne” SSO od nadużycia:

  • obserwowane konta użyte do logowań SSO: cloud-noc@mail.io, cloud-init@mail.io
  • przykładowe adresy IP (część ukrywana za Cloudflare): m.in. 104[.]28.244.115, 104[.]28.212.114 oraz dodatkowe IP raportowane przez strony trzecie
  • typowy ciąg zdarzeń po udanym logowaniu: utworzenie lokalnego konta admin (np. audit, backup, itadmin, secadmin, support i inne) jako mechanizm persystencji

Fortinet pokazał również przykład wpisu logu „Admin login successful” z method="sso" oraz kolejny log wskazujący dodanie obiektu w system.admin (tworzenie nowego admina).

Zakres wersji narażonych

W opisie NVD wskazano zakresy wersji, dla których ryzyko dotyczy m.in.:

  • FortiOS: 7.0.0–7.0.18, 7.2.0–7.2.12, 7.4.0–7.4.10, 7.6.0–7.6.5
  • analogicznie dla FortiManager i FortiAnalyzer w odpowiadających gałęziach 7.0/7.2/7.4/7.6

(Uwaga operacyjna: „zakres dotknięty” ≠ „zakres wdrożony w Twojej organizacji”. Jeśli masz mieszane wersje i centralne zarządzanie, traktuj temat jako kampanię obejmującą całą flotę.)

Praktyczne konsekwencje / ryzyko

Skuteczne obejście uwierzytelnienia administracyjnego na urządzeniu brzegowym/zarządzającym oznacza w praktyce „pełne przejęcie”:

  • modyfikacja polityk firewall/VPN, tworzenie tuneli i kont zdalnego dostępu
  • eksfiltracja konfiguracji (często zawierającej informacje o topologii, adresacji, integracjach, kontach i certyfikatach)
  • przygotowanie persystencji (lokalne konta admin) i pivot do sieci wewnętrznej

Dodatkowy wątek: Fortinet podkreślił, że choć obserwowana eksploatacja dotyczyła FortiCloud SSO, to problem klasy „SAML SSO alternate path” może mieć szerszy kontekst w organizacjach, które wdrażają SSO także z innymi dostawcami.

Rekomendacje operacyjne / co zrobić teraz

1) Ogranicz powierzchnię ataku na interfejs zarządzania (natychmiast)

Fortinet rekomenduje twarde ograniczenie dostępu administracyjnego (najlepiej out-of-band; alternatywnie allowlista IP przez local-in policy).

2) Rozważ czasowe wyłączenie FortiCloud SSO dla logowań admina

Jeśli Twoje procesy na to pozwalają, wyłącz „Allow administrative login using FortiCloud SSO” i przejdź na kontrolowane metody dostępu. Fortinet podaje też komendę CLI:
set admin-forticloud-sso-login disable

(W części środowisk Fortinet wdrożył dodatkowo blokowanie logowań SSO z podatnych wersji po stronie chmury — ale to nie zwalnia z higieny zarządzania i kontroli dostępu.)

3) Threat hunting / detekcja

Sprawdź:

  • logowania admin method="sso" i nietypowe ui="sso(...)"
  • wystąpienia kont cloud-init@mail.io / cloud-noc@mail.io (oraz inne nieoczekiwane tożsamości SSO)
  • nowe konta admin o podejrzanych nazwach (lista w sekcji IOC)

4) Jeżeli widzisz IOC — traktuj system jako skompromitowany

Fortinet zaleca m.in.: przywrócenie konfiguracji z „known good”, audyt zmian, rotację haseł/sekretów (w tym integracji LDAP/AD) i pełny przegląd kont administracyjnych.

5) Patch management

Kieruj się zasadą: zaktualizuj do najnowszego dostępnego wydania w danej gałęzi (lub wykonaj upgrade międzygałęziowy zgodny z polityką Twojej organizacji) i monitoruj komunikaty PSIRT/CVE. Zakresy wersji dotkniętych masz w NVD, a status/zmiany mitigacji Fortinet aktualizował w komunikacji PSIRT/blogu.

Różnice / porównania z innymi przypadkami

  • Podobieństwo do CVE-2025-59718/59719 (grudzień 2025): ten sam „obszar funkcjonalny” (FortiCloud SSO) i podobne symptomy (logowanie SSO, tworzenie lokalnych adminów).
  • Różnica kluczowa: według Fortinet/BleepingComputer ataki występowały również tam, gdzie wcześniejsze poprawki były już wdrożone — co wskazuje na inną ścieżkę obejścia (alternate path), a nie prosty „patch bypass” jednego CVE.

Podsumowanie / kluczowe wnioski

  1. CVE-2026-24858 (FG-IR-26-060) to krytyczne obejście uwierzytelniania w przepływie FortiCloud SSO z realnymi przypadkami nadużyć.
  2. Największe ryzyko dotyczy środowisk z włączonym logowaniem administracyjnym przez FortiCloud SSO oraz wystawionym/nieograniczonym dostępem do panelu zarządzania.
  3. Priorytet „tu i teraz”: ograniczenie dostępu admin, monitoring IOC, oraz gotowość do pełnych działań IR (rotacje, rollback konfiguracji) w razie wykrycia śladów ataku.

Źródła / bibliografia

  • Fortinet PSIRT Blog: Analysis of Single Sign-On Abuse on FortiOS (22 stycznia 2026) (fortinet.com)
  • NIST NVD: CVE-2026-24858 (NVD)
  • BleepingComputer: Fortinet blocks exploited FortiCloud SSO zero day until patch is ready (27 stycznia 2026) (BleepingComputer)
  • FortiGuard PSIRT (metadane advisory w wynikach wyszukiwania): FG-IR-26-060 Administrative FortiCloud SSO authentication bypass (fortiguard.fortinet.com)