Tag: Phishing

Wprowadzenie do problemu / definicja

W RiteCMS 3.1.0 ujawniono podatność typu authenticated remote code execution, która pozwala na uruchomienie dowolnego kodu PHP po zalogowaniu do panelu administracyjnego i uzyskaniu możliwości edycji treści. Problem dotyczy mechanizmu interpretacji specjalnych tagów funkcyjnych osadzanych w zawartości stron, co sprawia, że zwykła warstwa prezentacji może zostać wykorzystana jako wektor wykonania poleceń po stronie serwera.

Z perspektywy bezpieczeństwa jest to jedna z najgroźniejszych klas błędów w systemach CMS, ponieważ narusza granicę między zawartością redakcyjną a logiką wykonawczą aplikacji. W praktyce oznacza to, że użytkownik z odpowiednimi uprawnieniami może przekształcić stronę internetową w nośnik aktywnego payloadu.

W skrócie

• RiteCMS 3.1.0 jest podatny na uwierzytelnione zdalne wykonanie kodu.
• Atak wymaga konta z prawem edycji stron lub treści.
• Źródłem problemu jest obsługa znaczników funkcyjnych interpretowanych podczas renderowania zawartości.
• Skutkiem może być pełne przejęcie aplikacji, a w sprzyjających warunkach także całego serwera.
• Ryzyko rośnie znacząco tam, gdzie proces PHP ma szerokie uprawnienia oraz dostęp do funkcji systemowych.

Kontekst / historia

RiteCMS to lekki system zarządzania treścią oparty na PHP, stosowany głównie w prostszych wdrożeniach serwisów internetowych. Publicznie opisany exploit wskazuje, że wersja 3.1.0 zawiera błąd umożliwiający wykonanie kodu po uwierzytelnieniu. Opublikowane materiały techniczne nie ograniczają się wyłącznie do teorii, lecz pokazują praktyczny scenariusz wykorzystania podatności w realnym środowisku aplikacji.

Charakter luki wpisuje się w dobrze znaną kategorię błędów, w których parser szablonów, znaczników lub makr interpretuje dane wejściowe w sposób zbyt uprzywilejowany. Tego rodzaju mechanizmy bywają projektowane z myślą o elastyczności, ale bez odpowiednich ograniczeń stają się bezpośrednim kanałem do wykonania nieautoryzowanych operacji.

Analiza techniczna

Sedno podatności polega na tym, że silnik renderujący treść strony interpretuje specjalne konstrukcje osadzane w zawartości. W opisie problemu wskazano mechanizm odpowiedzialny za przetwarzanie tagów funkcyjnych w formacie zbliżonym do wywołań funkcji, co umożliwia przekazanie kontrolowanych przez użytkownika parametrów do kodu wykonywanego po stronie serwera.

Przebieg ataku jest relatywnie prosty. Napastnik loguje się do panelu, tworzy nową stronę albo edytuje istniejącą, umieszcza w treści odpowiednio przygotowany znacznik, zapisuje zmiany, a następnie doprowadza do renderowania zawartości. W tym momencie aplikacja nie traktuje danych jako pasywnego tekstu, lecz interpretuje je jako instrukcję wykonawczą.

To naruszenie modelu bezpieczeństwa ma poważne konsekwencje. Payload może zostać ukryty w zwykłej treści redakcyjnej, aktywować się podczas wyświetlania strony i działać w kontekście procesu serwera WWW. Jeśli środowisko PHP nie blokuje funkcji systemowych, możliwe staje się uruchamianie poleceń, modyfikacja plików, pobieranie dodatkowych komponentów oraz odczyt wrażliwych danych konfiguracyjnych.

• treść wprowadzana przez użytkownika nie jest traktowana wyłącznie jako dane,
• mechanizm renderowania zyskuje możliwość wywoływania funkcji,
• złośliwy kod może być osadzony w zwykłej stronie,
• skala skutków zależy od poziomu uprawnień użytkownika i konfiguracji serwera.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest możliwość wykonania dowolnych poleceń w kontekście procesu PHP lub serwera WWW. W praktyce może to prowadzić do pełnego przejęcia instancji RiteCMS, instalacji backdoora, kradzieży danych z konfiguracji aplikacji, manipulacji treścią witryny, a także wykorzystania serwera jako punktu wyjścia do dalszych działań wewnątrz infrastruktury.

Choć luka wymaga uwierzytelnienia, nie obniża to znacząco jej wagi operacyjnej. W rzeczywistych incydentach dostęp do kont redakcyjnych i administracyjnych bywa zdobywany poprzez phishing, ponowne użycie haseł, credential stuffing lub wcześniejsze przejęcie innego komponentu środowiska. W takim modelu uwierzytelnione RCE staje się szybkim etapem eskalacji i utrwalenia dostępu.

Szczególnie wysokie ryzyko występuje w środowiskach współdzielonych, tam gdzie aplikacja ma możliwość zapisu do katalogów wykonywalnych, a także w systemach bez wyraźnej separacji uprawnień. Im większe uprawnienia procesu webowego, tym większy potencjalny wpływ incydentu na integralność, poufność i dostępność usług.

Rekomendacje

Administratorzy i zespoły bezpieczeństwa powinni potraktować ten problem jako krytyczny. Pierwszym krokiem powinna być identyfikacja wszystkich instancji RiteCMS 3.1.0 oraz systemów pokrewnych, które mogą korzystać z podatnego mechanizmu tagów funkcyjnych. Następnie należy ograniczyć powierzchnię ataku i sprawdzić, czy nie doszło już do nadużyć.

• zweryfikować wersję wdrożonego RiteCMS i ekspozycję podatnego komponentu,
• ograniczyć dostęp do panelu administracyjnego, najlepiej do zaufanych adresów IP,
• włączyć MFA dla kont uprzywilejowanych,
• przeprowadzić przegląd kont z prawem edycji treści i zredukować nadmiarowe uprawnienia,
• przeskanować zawartość stron pod kątem nietypowych tagów i podejrzanych modyfikacji,
• przeanalizować logi aplikacyjne, HTTP oraz historię zmian treści,
• ograniczyć lub wyłączyć niebezpieczne funkcje PHP, jeśli nie są niezbędne,
• wdrożyć separację uprawnień procesu webowego oraz kontrolę zapisu do katalogów aplikacji,
• monitorować integralność plików i obecność webshelli,
• przygotować plan aktualizacji, migracji lub tymczasowego wyłączenia podatnej funkcji.

Jeżeli istnieje choćby podejrzenie kompromitacji, należy założyć możliwość utrzymania trwałego dostępu przez atakującego. W takiej sytuacji sama zmiana haseł nie jest wystarczająca. Konieczna jest analiza powłamaniowa, rotacja sekretów, weryfikacja zadań harmonogramu, usług startowych, połączeń wychodzących oraz wszystkich modyfikacji w obrębie aplikacji i systemu.

Podsumowanie

Podatność authenticated RCE w RiteCMS 3.1.0 pokazuje, jak niebezpieczne jest łączenie funkcji edycji treści z możliwością wykonywania logiki po stronie serwera. Mechanizm tagów funkcyjnych, jeśli nie jest rygorystycznie ograniczony, może zostać wykorzystany do pełnej kompromitacji aplikacji i dalszej eskalacji w środowisku.

Dla organizacji korzystających z tego CMS-a oznacza to konieczność natychmiastowej oceny ryzyka, audytu uprawnień, analizy treści oraz wdrożenia kontroli ograniczających skutki podobnych błędów. Nawet jeśli luka wymaga zalogowania, jej wpływ pozostaje bardzo wysoki, ponieważ przejęcie jednego konta redakcyjnego może otworzyć drogę do wykonania kodu na serwerze.

Źródła

• https://www.exploit-db.com/exploits/52488
• https://github.com/handylulu/RiteCMS
• https://sourceforge.net/projects/ritecms/files/V3.1.0/
• https://ogma.in/understanding-cve-2025-67172-ritecms-v3-1-0-remote-code-execution-vulnerability
• https://www.cvedetails.com/cve/CVE-2021-46367/

Wprowadzenie do problemu / definicja

Ataki socjotechniczne należą do najskuteczniejszych metod uzyskiwania nieautoryzowanego dostępu do zasobów organizacji. Zamiast przełamywać zabezpieczenia techniczne, napastnicy wykorzystują manipulację, presję oraz podszywanie się pod zaufane podmioty, aby skłonić pracowników do ujawnienia poświadczeń lub zatwierdzenia działań otwierających drogę do systemów firmowych.

Incydent dotyczący Hims & Hers pokazuje, że nawet jeśli główne systemy medyczne pozostają nienaruszone, atak wymierzony w środowisko pomocnicze może prowadzić do ekspozycji danych klientów oraz zwiększać ryzyko kolejnych kampanii phishingowych.

W skrócie

• Hims & Hers poinformował o ograniczonym naruszeniu danych po zaawansowanym ataku socjotechnicznym.
• Napastnik uzyskał dostęp do zewnętrznej platformy obsługi klienta używanej przez firmę.
• Incydent dotyczył zgłoszeń serwisowych przetwarzanych między 4 a 7 lutego 2026 roku.
• Firma podkreśliła, że elektroniczna dokumentacja medyczna oraz komunikacja pacjentów z personelem medycznym nie zostały naruszone.
• Zakres ujawnionych danych mógł obejmować imiona i nazwiska, adresy e-mail, a w części przypadków także informacje przekazane przez klientów podczas kontaktu z działem wsparcia.

Kontekst / historia

Hims & Hers działa w sektorze telemedycyny i usług zdrowotnych, obsługując szeroką bazę klientów oraz przetwarzając dane o podwyższonej wrażliwości. Tego typu organizacje są atrakcyjnym celem dla cyberprzestępców, ponieważ łączą dane osobowe, informacje o usługach zdrowotnych i rozbudowane zaplecze cyfrowe obejmujące zarówno systemy kliniczne, jak i platformy wsparcia klienta.

Z dostępnych informacji wynika, że podejrzaną aktywność wykryto 5 lutego 2026 roku. Organizacja rozpoczęła działania zabezpieczające, analizę incydentu oraz zgłosiła sprawę organom ścigania. Spółka zapowiedziała również przegląd polityk i procedur bezpieczeństwa.

Zdarzenie wpisuje się w rosnący trend ataków na systemy peryferyjne, takie jak helpdeski, CRM-y i narzędzia obsługi klienta. Chociaż nie są to zwykle najbardziej krytyczne systemy w firmie, często przechowują one wartościowe dane operacyjne i kontaktowe, a czasem także informacje wrażliwe przekazywane przez użytkowników poza formalnymi kanałami.

Analiza techniczna

Najważniejszym elementem incydentu jest to, że wektor wejścia prowadził do zewnętrznej platformy customer service, a nie bezpośrednio do środowiska medycznego. Takie platformy zazwyczaj integrują się z pocztą, systemami tożsamości, narzędziami ticketowymi i bazami klientów, dlatego przejęcie konta pracownika może zapewnić szybki dostęp do istotnych informacji bez potrzeby kompromitowania najbardziej chronionych zasobów.

Hims & Hers wskazał, że atak był wymierzony w dwóch pracowników, co sugeruje działanie ukierunkowane, a nie masową kampanię phishingową. Możliwy scenariusz obejmował podszycie się pod administratora, partnera lub zaufany dział wewnętrzny, a następnie nakłonienie ofiar do ujawnienia poświadczeń, zatwierdzenia żądania MFA albo wykonania czynności skutkującej przejęciem sesji.

Dostęp do zgłoszeń serwisowych oznacza potencjalny wgląd w dane przekazywane przez użytkowników do obsługi klienta. Mogły to być nie tylko dane kontaktowe i identyfikacyjne, lecz także opisy problemów, informacje o koncie, szczegóły zamówień lub treści związane z leczeniem, jeśli użytkownicy umieszczali je w zgłoszeniach. To istotne ryzyko, ponieważ systemy wsparcia nierzadko stają się wtórnym repozytorium danych, które nie zawsze podlega tak ścisłym kontrolom jak systemy podstawowe.

Incydent pokazuje również znaczenie segmentacji i separacji środowisk. Brak naruszenia elektronicznej dokumentacji medycznej sugeruje, że pomiędzy platformą wsparcia a systemami klinicznymi istniały bariery architektoniczne. Jednocześnie sam fakt uzyskania dostępu do zgłoszeń potwierdza, że system pomocniczy zawierał dane wystarczająco cenne, aby stać się celem ataku.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem incydentu jest ryzyko naruszenia poufności danych klientów. Nawet ograniczony zestaw informacji, taki jak imię, nazwisko i adres e-mail, może zostać wykorzystany do prowadzenia wiarygodnych kampanii phishingowych, prób resetowania haseł oraz oszustw opartych na podszywaniu się pod dział wsparcia.

Jeżeli część zgłoszeń zawierała informacje dotyczące leczenia lub zamówionych usług, skala zagrożenia rośnie. W takim przypadku możliwe są nadużycia reputacyjne, próby wyłudzeń, profilowanie ofiar czy wykorzystywanie kontekstu zdrowotnego do bardziej przekonujących ataków socjotechnicznych.

Dla samej organizacji incydent oznacza także ryzyko regulacyjne, prawne i operacyjne. Firmy z sektora telemedycyny muszą liczyć się z obowiązkami notyfikacyjnymi, dodatkowymi audytami, presją na wzmocnienie kontroli dostępu oraz długofalowymi kosztami reputacyjnymi, które mogą okazać się trudniejsze do oszacowania niż bezpośredni wpływ finansowy.

Rekomendacje

Organizacje korzystające z zewnętrznych platform obsługi klienta powinny traktować je jako systemy wysokiego ryzyka. W praktyce oznacza to konieczność stosowania silnego uwierzytelniania wieloskładnikowego odpornego na phishing, ograniczania uprawnień zgodnie z zasadą najmniejszych uprawnień oraz ciągłego monitorowania logowań, sesji i działań związanych z dostępem do danych.

• Wdrożenie phishing-resistant MFA, w tym kluczy sprzętowych FIDO2 dla pracowników o podwyższonym ryzyku.
• Regularne ćwiczenia z zakresu socjotechniki oparte na realistycznych scenariuszach, a nie wyłącznie szkolenia okresowe.
• Procedury potwierdzania tożsamości przy nietypowych żądaniach dotyczących kont, dostępu i konfiguracji.
• Minimalizacja danych w systemach ticketowych, w tym maskowanie informacji wrażliwych i polityki retencji.
• Segmentacja integracji między platformą wsparcia a systemami backendowymi oraz regularne przeglądy uprawnień.
• Szybka rotacja poświadczeń, unieważnianie sesji i analiza logów po wykryciu incydentu.

Równie ważna jest komunikacja z klientami po naruszeniu. Organizacja powinna jasno ostrzegać przed phishingiem następczym, próbami podszywania się pod firmę oraz wiadomościami odwołującymi się do wcześniejszych kontaktów z pomocą techniczną.

Podsumowanie

Incydent w Hims & Hers potwierdza, że skuteczny atak socjotechniczny nie musi prowadzić do kompromitacji głównych systemów klinicznych, aby stanowić realne zagrożenie dla prywatności klientów i bezpieczeństwa operacyjnego firmy. Wystarczy przejęcie dostępu do systemu pomocniczego, który gromadzi wartościowe dane i stanowi wygodny punkt wejścia do dalszych działań przestępczych.

Dla sektora ochrony zdrowia i telemedycyny to kolejny sygnał, że platformy obsługi klienta, helpdeski i inne środowiska wspierające muszą być chronione z taką samą uwagą jak systemy krytyczne. Odporność na phishing, segmentacja środowisk oraz kontrola przepływu danych w kanałach wsparcia powinny pozostać priorytetem.

Źródła

• Cybersecurity Dive: Hims & Hers says limited data stolen in social engineering attack
• Hims & Hers Health, Inc. Annual Report (10-K)
• Hims & Hers Investor Relations

Wprowadzenie do problemu / definicja

Cyberprzestępcy rozwijają kampanie smishingowe, w których podszywają się pod sądy, wydziały komunikacji i inne instytucje stanowe w USA. Najnowsza odsłona tego procederu wykorzystuje kody QR zamiast tradycyjnych linków, aby skłonić odbiorców do opłacenia rzekomego mandatu, opłaty drogowej lub należności parkingowej.

To przykład tzw. quishingu, czyli phishingu prowadzonego z użyciem kodów QR. Taka metoda utrudnia wykrywanie zagrożenia przez część systemów bezpieczeństwa i zwiększa szansę, że użytkownik sam przejdzie do fałszywej strony płatności.

W skrócie

Atak rozpoczyna się od wiadomości SMS stylizowanej na pilne wezwanie do uregulowania wykroczenia drogowego. Zamiast bezpośredniego odnośnika wiadomość zawiera obraz z kodem QR, który po zeskanowaniu kieruje ofiarę do wieloetapowego łańcucha przekierowań.

Po drodze użytkownik może zostać poproszony o rozwiązanie testu CAPTCHA, a następnie trafia na stronę imitującą oficjalny serwis urzędowy. Tam przestępcy wyłudzają dane osobowe i dane karty płatniczej, często pod pretekstem niewielkiej opłaty, która ma uśpić czujność ofiary.

Kontekst / historia

Oszustwa związane z fałszywymi mandatami, opłatami drogowymi i parkingowymi były szeroko obserwowane już wcześniej, jednak wcześniejsze kampanie zwykle opierały się na klasycznych linkach umieszczanych bezpośrednio w treści SMS-a. Obecna zmiana pokazuje ewolucję taktyki po stronie przestępców.

Zastąpienie adresu URL kodem QR nie jest przypadkowe. Atakujący dostosowują swoje metody do rosnącej świadomości użytkowników oraz do zabezpieczeń, które coraz skuteczniej wykrywają podejrzane linki. Jednocześnie wykorzystują dobrze znane mechanizmy socjotechniczne: presję czasu, groźbę konsekwencji prawnych i stosunkowo niską kwotę do zapłaty.

Kampanie tego typu mogą być łatwo lokalizowane pod różne stany i regiony, co zwiększa ich wiarygodność. Odbiorca ma wrażenie, że komunikat pochodzi od znanej, lokalnej instytucji, a sprawa wymaga natychmiastowej reakcji.

Analiza techniczna

Łańcuch ataku zaczyna się od wiadomości pochodzącej z nieznanego numeru lub nadawcy. SMS zawiera grafikę przypominającą oficjalne zawiadomienie o zaległej płatności, a centralnym elementem jest kod QR prowadzący do infrastruktury kontrolowanej przez przestępców.

Po zeskanowaniu kodu użytkownik nie trafia od razu na właściwy formularz phishingowy. Najpierw przechodzi przez stronę pośrednią, która może służyć do profilowania ofiary, zarządzania przekierowaniem oraz utrudniania analizy przez badaczy bezpieczeństwa i systemy automatyczne.

Włączenie CAPTCHA do tego procesu dodatkowo ogranicza skuteczność narzędzi analizujących podejrzane adresy w sposób automatyczny. Dopiero po wykonaniu tego kroku ofiara zostaje przekierowana do witryny podszywającej się pod urząd lub agencję stanową.

Fałszywe strony są projektowane tak, aby przypominały oficjalne portale administracyjne. Zwykle wyświetlają niewielką zaległość i prowadzą użytkownika przez formularz zbierający:

• imię i nazwisko,
• adres zamieszkania,
• numer telefonu,
• adres e-mail,
• dane karty płatniczej.

Z punktu widzenia obrony ważne jest to, że skutkiem ataku nie musi być wyłącznie pojedyncze obciążenie karty. Zebrane informacje mogą zostać wykorzystane do dalszych oszustw finansowych, kradzieży tożsamości, kolejnych kampanii phishingowych lub sprzedaży danych w cyberprzestępczym obiegu.

Konsekwencje / ryzyko

Najbardziej oczywistą konsekwencją jest utrata środków finansowych i przejęcie danych płatniczych. W praktyce skala ryzyka jest jednak znacznie szersza, ponieważ przestępcy pozyskują także pełen zestaw danych osobowych przydatnych w dalszych nadużyciach.

• kradzież tożsamości,
• zakładanie kont lub usług na dane ofiary,
• przygotowanie kolejnych, bardziej wiarygodnych ataków socjotechnicznych,
• ukierunkowane oszustwa bankowe,
• obrót pakietami danych w podziemnym ekosystemie cyberprzestępczym.

Dodatkowym czynnikiem ryzyka jest psychologia ataku. Komunikaty o rzekomych mandatach i obowiązku stawienia się przed sądem wywołują stres, a niska kwota płatności może skłonić ofiarę do szybkiego działania bez weryfikacji autentyczności wiadomości.

Rekomendacje

Użytkownicy indywidualni i organizacje powinni traktować nieoczekiwane SMS-y dotyczące mandatów, opłat drogowych lub spraw urzędowych jako potencjalnie złośliwe, zwłaszcza jeśli zawierają kod QR. W takich przypadkach warto stosować podstawowe, ale konsekwentne zasady bezpieczeństwa.

• nie skanować kodów QR z nieoczekiwanych wiadomości,
• nie korzystać z danych kontaktowych i instrukcji podanych w podejrzanym SMS-ie,
• weryfikować sprawę wyłącznie przez oficjalny portal instytucji lub numer znaleziony samodzielnie,
• edukować użytkowników w zakresie smishingu i quishingu,
• uwzględniać urządzenia mobilne w politykach bezpieczeństwa,
• monitorować domeny podszywające się pod instytucje publiczne,
• blokować znane domeny phishingowe na poziomie DNS, proxy oraz narzędzi EDR i MDM,
• zgłaszać incydenty operatorom i właściwym zespołom reagowania.

W środowiskach firmowych szczególnie istotne jest rozszerzenie detekcji zagrożeń o scenariusze mobilne. Klasyczne zabezpieczenia poczty elektronicznej nie są wystarczające, jeśli użytkownik inicjuje kontakt z infrastrukturą atakującego przez skanowanie obrazu smartfonem.

Podsumowanie

Przeniesienie kampanii phishingowych z tradycyjnych linków do kodów QR pokazuje, że oszuści aktywnie dostosowują się do mechanizmów obronnych i zachowań użytkowników. Połączenie quishingu, CAPTCHA i wieloetapowych przekierowań zwiększa skuteczność ataku i utrudnia jego automatyczne wykrywanie.

Dla obrońców oznacza to konieczność szerszego spojrzenia na bezpieczeństwo mobilne, a dla użytkowników przypomnienie podstawowej zasady: każdą prośbę o natychmiastową płatność należy weryfikować wyłącznie przez oficjalne kanały instytucji, nigdy przez treść otrzymanej wiadomości.

Źródła

1. BleepingComputer — https://www.bleepingcomputer.com/news/security/traffic-violation-scams-switch-to-qr-codes-in-new-phishing-texts/
2. Governor of New York — Consumer Alert: New York State agencies do not request personal or payment information by text message — https://www.governor.ny.gov/