Archiwa: PowerShell - Security Bez Tabu

Tag: PowerShell

Adobe AEM Forms (CVE-2025-54253) już wykorzystywana w atakach: co muszą zrobić zespoły bezpieczeństwa

Wprowadzenie do problemu / definicja luki

CISA ostrzegła, że krytyczna podatność w Adobe Experience Manager (AEM) Forms na JEE, śledzona jako CVE-2025-54253, jest aktywnie wykorzystywana. To błąd konfiguracji prowadzący do zdalnego wykonania kodu (RCE), oceniony na CVSS 10.0. Adobe załatało problem w trybie out-of-band na początku sierpnia 2025 r., ale w obiegu znajdował się już publiczny PoC, co ułatwiło atakującym przygotowanie kampanii.

W skrócie

  • Produkt / wersje: AEM Forms na JEE w wersjach 6.5.23.0 i starszych są podatne. Wydanie naprawcze: 6.5.0-0108. Wpływ: zdalne wykonanie kodu bez uwierzytelnienia.
  • Status: CISA dodała lukę do KEV (Known Exploited Vulnerabilities) – potwierdzona eksploatacja „in the wild”. Federalne agencje USA muszą załatać systemy do 5 listopada 2025 r.
  • Powiązana luka: CVE-2025-54254 (XXE, CVSS 8.6) również naprawiona w tym samym pakiecie, ale na razie nie jest na liście KEV.

Kontekst / historia / powiązania

Adobe opublikowało biuletyn APSB25-82 5 sierpnia 2025 r., rekomendując pilną aktualizację do AEM Forms na JEE 6.5.0-0108. W notatce zaznaczono, że dla CVE-2025-54253 i CVE-2025-54254 istniał publiczny PoC. 16 października 2025 r. niezależne serwisy (SecurityWeek, HNS) wskazały, że CISA dodała CVE-2025-54253 do KEV, co oznacza obserwowaną eksploatację w realnych atakach.

Analiza techniczna / szczegóły luki

Istota problemu to błędna konfiguracja pozostawiająca w interfejsie administracyjnym AEM Forms włączony Apache Struts „devMode” oraz łańcuch z ominięciem uwierzytelnienia, co razem umożliwia atakującemu wykonanie wyrażeń OGNL i eskalację do RCE – i to bez interakcji użytkownika. Wektor jest prosty (niska złożoność), a atak może był kierowany na endpoint związany z debugowaniem (np. /adminui/debug).

W biuletynie Adobe potwierdzono:

  • CVE-2025-54253 – „Incorrect Authorization”, RCE, CVSS 10.0
  • CVE-2025-54254XXE, odczyt plików, CVSS 8.6
    Patch docelowy: AEM Forms na JEE 6.5.0-0108; wersje dotknięte: 6.5.23.0 i starsze.

Dodatkowa dokumentacja Adobe dla administratorów precyzuje, które warianty nie są podatne (Forms na OSGi, Workbench, Cloud Service) i opisuje ścieżki aktualizacji/hotfixów dla Service Packów 18–23 oraz starszych.

Praktyczne konsekwencje / ryzyko

  • Pre-auth RCE na serwerze aplikacyjnym, często z uprawnieniami usługi AEM Forms (np. JBoss/WebLogic/WebSphere), daje napastnikowi trwały foot-hold.
  • Niska złożoność i brak interakcji użytkownika zwiększają prawdopodobieństwo automatycznych skanów i masowej eksploatacji.
  • Publiczny PoC plus wpis w KEV → realne ryzyko ransomware, web-shelli i pivotu do sieci wewnętrznej.

Rekomendacje operacyjne / co zrobić teraz

  1. Aktualizuj natychmiast: do AEM Forms na JEE 6.5.0-0108 (APSB25-82). Jeżeli używasz SP 18–22, zastosuj odpowiednie hotfixy zgodnie z instrukcją Adobe; dla 6.5.23.0 dostępny jest hotfix zbiorczy.
  2. Zweryfikuj ekspozycję: AEM Forms na JEE nie powinien być dostępny z Internetu (zwłaszcza /adminui/*). Ogranicz dostęp do panelu admina do zaufanych sieci/VPN i wymuś MFA.
  3. Tymczasowe środki twardnienia (jeśli patchowanie wymaga okna):
    • Zablokuj na WAF/proxy /adminui/debug i inne endpointy admin UI; odfiltruj wzorce OGNL.
    • Upewnij się, że Struts devMode jest wyłączony w środowiskach produkcyjnych.
  4. Higiena uprawnień i segmentacja: uruchamiaj AEM Forms z minimalnymi uprawnieniami i odseparuj serwer w strefie DMZ z ograniczonym egress. (Wniosek operacyjny na bazie wektora RCE).
  5. Detekcja i reagowanie:
    • Sprawdź logi aplikacyjne i reverse proxy pod kątem żądań do /adminui/debug oraz ładunków OGNL.
    • Szukaj nietypowych procesów dziecka (np. cmd, powershell, /bin/sh) uruchamianych przez proces aplikacyjny AEM/JEE.
    • Wdroż reguły EDR/NDR/WAF na znane ciągi OGNL oraz nienaturalne nagłówki/parametry. (Wniosek techniczny na podstawie opisu wektora).
  6. Walidacja naprawy: po aktualizacji zweryfikuj wersję i komponenty zgodnie z poradnikiem Adobe (Service Pack + wymienione EAR/WAR/JAR).
  7. Termin krytyczny (USA): jeżeli podlegasz BOD 22-01, termin remediacji to 5 listopada 2025 r.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • CVE-2025-54253 (CVSS 10.0) – błąd konfiguracji (Struts devMode + auth bypass), RCE bez uwierzytelnienia; KEV → potwierdzona eksploatacja.
  • CVE-2025-54254 (CVSS 8.6)XXE w usługach webowych AEM Forms (odczyt plików), naprawiona w tym samym wydaniu, obecnie brak potwierdzenia eksploatacji w KEV.
  • CVE-2025-49533 – dodatkowe RCE w GetDocumentServlet, również ujęte w dokumentacji łagodzenia Adobe dla AEM Forms 6.5. (Warto uwzględnić w pełnym cyklu patchowania).

Podsumowanie / kluczowe wnioski

  • To jest incydent „patch-now”: publiczny PoC + wpis w KEV + niska złożoność ataku.
  • Aktualizacja do 6.5.0-0108 i twardnienie dostępu do admin UI to minimum operacyjne.
  • Zespoły powinny przeprowadzić threat hunting po wzorcach OGNL i śladach RCE oraz zablokować ekspozycję AEM Forms na Internet.

Źródła / bibliografia

  • SecurityWeek: ostrzeżenie o wykorzystywaniu CVE-2025-54253 i kontekst KEV/BOD. (SecurityWeek)
  • Adobe APSB25-82: wersje podatne, wersja naprawcza 6.5.0-0108, oceny CVSS. (Adobe Help Center)
  • Adobe Experience League: przewodnik łagodzenia, zakres dotkniętych/wyłączonych wariantów, kroki hotfix. (Experience League)
  • Help Net Security: szczegóły techniczne (Struts devMode, OGNL, /adminui/debug), status KEV i terminy. (Help Net Security)
  • The Hacker News: podsumowanie wpływu, wersje, termin remediacji dla agencji federalnych. (The Hacker News)

Gladinet łata aktywnie wykorzystywany zero-day w CentreStack (CVE-2025-11371)

Wprowadzenie do problemu / definicja luki

Gladinet wydał poprawkę dla biznesowego rozwiązania do udostępniania plików CentreStack, usuwając podatność CVE-2025-11371. To nieautoryzowana LFI (Local File Inclusion), która była aktywnie wykorzystywana od końca września. Patch jest dostępny w wersji 16.10.10408.56683 CentreStack. Triofox pozostaje powiązany funkcjonalnie, ale komunikaty o wydaniu łaty dotyczą wprost CentreStack.

W skrócie

  • Id: CVE-2025-11371 (LFI, ujawnienie plików systemowych bez uwierzytelnienia).
  • Status: ataki „in the wild” potwierdzone (co najmniej trzy ofiary); patch już dostępny (16.10.10408.56683).
  • Wektor nadużycia: odczyt Web.config → przejęcie machineKey → podpisanie danych i RCE przez deserializację ViewState.
  • Wersje podatne (wg NVD): wszystkie do i łącznie z 16.7.10368.56560.

Kontekst / historia / powiązania

W kwietniu 2025 ujawniono krytyczne CVE-2025-30406: twardo zakodowane klucze kryptograficzne (machineKey) umożliwiały RCE przez deserializację ViewState. Błąd załatano (min. CentreStack 16.4.10315.56368), ale nowy zero-day CVE-2025-11371 pozwalał napastnikom odzyskać klucz z dysku i ponownie osiągnąć RCE mimo kwietniowej łaty. Stąd fala ataków we wrześniu/październiku.

Analiza techniczna / szczegóły luki

Huntress opisał ścieżkę nadużycia: publiczny endpoint obsługiwany przez klasę GladinetStorage.TempDownload w komponencie GSUploadDownloadProxy akceptował ciągi z sekwencjami przejścia katalogu. To pozwalało na odczyt dowolnych plików względem katalogu tymczasowego – w praktyce również .../root/Web.config. Po pobraniu Web.config atakujący wyciągał machineKey i przechodził do RCE poprzez przygotowanie złośliwego ViewState (deserializacja po stronie serwera). Huntress udostępnił minimalistyczny 1-liner PowerShell do pobrania Web.config jako PoC po tym, jak Gladinet wypuścił patch.

NVD potwierdza klasyfikację błędu jako LFI umożliwiającą niezamierzone ujawnienie plików oraz wskazuje zakres wersji podatnych (≤16.7.10368.56560). Horizon3.ai dodatkowo podkreśla, że LFI → machineKey → RCE to łańcuch ataku możliwy w domyślnych instalacjach CentreStack/Triofox.

Praktyczne konsekwencje / ryzyko

  • Przełamanie uwierzytelniania logicznego: dowolny, nieautoryzowany klient może czytać pliki aplikacyjne/OS (LFI).
  • Eskalacja do pełnego kompromisu hosta Windows: po uzyskaniu machineKey możliwe jest zdalne wykonanie kodu z uprawnieniami procesu serwera WWW (w praktyce często SYSTEM).
  • Ryzyko wtórne: kradzież danych klientów, pivot do sieci wewnętrznej, wstrzyknięcie web-shella, trwałość poprzez zadania harmonogramu/usługi.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast zaktualizuj CentreStack do 16.10.10408.56683 (panel aktualizacji/instalator). Zweryfikuj wersję po aktualizacji.
  2. Jeśli patch chwilowo niemożliwy – zastosuj mitigacje Huntress:
    • Wyłącz handler t.dn w UploadDownloadProxy\Web.config (usunięcie wpisu mapującego).
    • Ogranicz ekspozycję portali (geofencing/VPN/WAF), jeśli to możliwe.
  3. Natychmiastowa detekcja/IR:
    • Przejrzyj logi pod kątem żądań typu GET /storage/t.dn?s=..\..\..\Program+Files+(x86)\Gladinet+Cloud+Enterprise\root\Web.config&sid=1.
    • Szukaj nietypowych POST z zakodowanymi base64 payloadami oraz plików tymczasowych zawierających wyniki poleceń (np. CentreStac_log.txt).
    • Zresetuj/obróć wartości machineKey i inne sekrety, jeśli istnieje podejrzenie odczytu Web.config.
  4. Twarde utwardzenie konfiguracji ASP.NET:
    • Wymuś custom machineKey generowany per-instancję (nie domyślne).
    • Włącz ViewState MAC i rozważ ViewStateUserKey (zgodnie z best practices). (Wniosek wynikający z analizy mechanizmu ataku.)
  5. Atak łańcuchowy a stare CVE: upewnij się, że CVE-2025-30406 było wcześniej załatane (min. 16.4.10315.56368). Ten błąd historycznie umożliwiał RCE i pozostaje częścią łańcucha, jeśli machineKey jest znany.

Różnice / porównania z innymi przypadkami

  • CVE-2025-30406 (kwiecień 2025): problem z twardo zakodowanymi kluczami w Web.config → natychmiastowe RCE; naprawiony w 16.4.x.
  • CVE-2025-11371 (październik 2025): LFI pozwala wydobyć machineKey z Web.config, co odtwarza warunki do RCE znane z wcześniejszej luki. Ta podatność została teraz załatana w 16.10.x.

Podsumowanie / kluczowe wnioski

  • Patch jest już dostępny – zaktualizuj do 16.10.10408.56683 bez zwłoki.
  • LFI w CentreStack nie wymaga uwierzytelnienia i prowadzi do RCE przez kradzież machineKey.
  • Nawet organizacje załatane na kwietniowe CVE-2025-30406 były podatne, dopóki CVE-2025-11371 pozostawało niezałatane.
  • W logach szukaj śladów odczytu Web.config i nietypowych base64 payloadów. W razie podejrzeń rotuj klucze/sekrety i przeprowadź IR.

Źródła / bibliografia

  • BleepingComputer: „Gladinet fixes actively exploited zero-day in file-sharing software” (16 października 2025) – informacja o wydaniu łat 16.10.10408.56683. (BleepingComputer)
  • Huntress: „Active Exploitation of Gladinet CentreStack and Triofox Local File Inclusion Flaw (CVE-2025-11371)” – techniczne szczegóły LFI, ścieżka eksploatacji, IoC i mitigacje. Aktualizacja z 15 października. (Huntress)
  • NVD: CVE-2025-11371 – opis podatności i zakres wersji podatnych (≤16.7.10368.56560). (NVD)
  • NVD: CVE-2025-30406 – wcześniejsza luka RCE (hardcoded machineKey) oraz wersja naprawcza 16.4.10315.56368. (NVD)
  • Horizon3.ai: Analiza CVE-2025-11371 (LFI → RCE) – omówienie łańcucha ataku. (Horizon3.ai)

Tajwan: NSB raportuje skok ataków cybernetycznych i operacji wpływu z Chin (2025)

Wprowadzenie do problemu / definicja luki

Tajwańskie Biuro Bezpieczeństwa Narodowego (NSB) przedstawiło parlamentowi raport o gwałtownym wzroście aktywności cybernetycznej i operacji wpływu przypisywanych Chinom. Administracja rządowa notuje średnio 2,8 mln prób naruszeń dziennie w 2025 r., co oznacza wzrost o 17% r/r. Główne cele to obronność, telekomunikacja, energia i systemy medyczne. Równolegle obserwowany jest rozwój „armii trolli” i kampanii dezinformacyjnych, coraz częściej wspieranych generatywną AI.

W skrócie

  • Skala: 2,8 mln zdarzeń/dzień w sieciach rządowych; +17% vs 2024.
  • Vektory: spear-phishing, exploity dnia zerowego/„niskiego dnia”, lateral movement, living-off-the-land (LOTL), ataki na łańcuch dostaw i konta chmurowe. (Wnioski na podstawie trendów PRC APT i raportów branżowych).
  • IO/psychowojna: skoordynowane sieci kont, memy i treści krótkie, narracje antyrządowe i anty-USA, rosnące użycie GenAI.
  • Cele sektorowe: obrona, telekom, energia, zdrowie – zarówno szpiegostwo, jak i przygotowanie pod operacje zakłócające.
  • Geopolityka: eskalacja oskarżeń dwustronnych PRC–TWN; incydenty informacyjne wykorzystywane do presji politycznej.

Kontekst / historia / powiązania

Wzmożona aktywność Chin wobec Tajwanu trwa od lat, ale 2024–2025 przyniosły intensyfikację działań: od kampanii dezinformacyjnych w cyklu wyborczym po działania psychologiczne i „nazywanie po nazwisku” przeciwników informacyjnych. Równocześnie Taipei publicznie ostrzegało, że Pekin wykorzystuje generatywne AI do skalowania wpływu w mediach społecznościowych i obniżania zaufania do sojuszu z USA.

Google TAG od lat śledzi sieć DRAGONBRIDGE (Spamouflage) – rozległy ekosystem pro-PRC, który rozlewa się na wiele platform. Mimo niskiego organicznego zaangażowania treści, skala i upór aktora czynią go użytecznym narzędziem saturującym informacyjnie przestrzeń publiczną.

Analiza techniczna / szczegóły luki

TTPs obserwowane/oczekiwane w tym kontekście:

  1. Wejście początkowe: spear-phishing z załącznikami Office/OneNote, linki do hostów złośliwych, nadużycia OAuth, ataki na słabe MFA/bez-MFA; zewnętrzne exploity w VPN/WAF/NGFW. (Uogólnienie na bazie kampanii PRC APT z ostatnich lat.)
  2. Utrzymanie i eskalacja: web-shell’e (np. China Chopper-like), implanty bezplikowe, LOLBins (PowerShell, WMI), kradzież tokenów chmurowych.
  3. Ruch boczny: RDP/SMB, nadużycia AD (DCSync, Golden/Silver Tickets), tunelowanie przez serwery C2 w chmurze.
  4. Cele danych: systemy rządowe i rejestry medyczne (PII/PHI), planowanie obronne, konfiguracje sieci krytycznych.

Warstwa informacyjna (IO):

  • Produkcja treści: krótkie wideo, memy, grafiki – coraz częściej generowane LLM/AI, co ułatwia lokalizację narracji.
  • Dystrybucja: wieloplatformowe sieci kont, cross-postowanie i „podsłony” kont, które TAG cyklicznie usuwa (np. aktywność DRAGONBRIDGE).
  • Narracje: krytyka władz Tajwanu, zniechęcanie do współpracy z USA, wzmacnianie treści pro-Pekin.

Praktyczne konsekwencje / ryzyko

  • Ryzyko operacyjne dla sektora publicznego: większe prawdopodobieństwo wycieku danych obywateli i informacji wrażliwych dot. obronności.
  • Krytyczna infrastruktura: ryzyko pre-positioning (zakładanie przyczółków na wypadek kryzysu), które może skutkować zakłóceniami w telekomunikacji, energii lub służbie zdrowia.
  • Środowisko informacyjne: obniżanie zaufania społecznego przez kampanie IO, trudniejsze różnicowanie prawdy/fałszu z powodu GenAI.
  • Ryzyko reputacyjne i prawne: eskalacja oskarżeń PRC↔TWN tworzy presję na transparentność i zgodność działań cyber w instytucjach publicznych i firmach współpracujących z rządem.

Rekomendacje operacyjne / co zrobić teraz

  1. Twardnienie dostępu:
    • Wymuszaj FIDO2/Passkeys + politykę „phishing-resistant MFA”; blokuj starsze protokoły (IMAP/POP).
    • Wdrażaj Conditional Access i segmentację dostępu uprzywilejowanego (PAW).
  2. Higiena chmurowa:
    • Monitoruj tokeny odświeżania, nadużycia OAuth, nieużywane aplikacje enterprise; rotuj klucze i sekretne zasoby regularnie.
  3. Patching priorytetowy:
    • „Top 10” ekspozycji perymetru: VPN, e-mail gateways, WAF/NGFW, publikowane serwisy IIS/Apache/Nginx; SLA <7 dni dla krytyków, <24 h przy exploitach „na wolności”.
  4. Detection & Response:
    • Reguły EDR/XDR dla LOLBins (PowerShell/WMI), token-theft, anomalii OAuth, nietypowego użycia certyfikatów i Mimikatz-like; hunt na web-shelle w katalogach niestandardowych.
    • Telemetria DNS/HTTP dla C2 w chmurze (VPS, storage, CDN) i rotating domains.
  5. Ochrona danych i ciągłość:
    • Segmentacja sieci, backup 3-2-1 + testy odtworzeniowe, szyfrowanie PII/PHI w spoczynku i w ruchu.
  6. Odporność informacyjna:
    • Playbooki reagowania na dezinformację: szybkie dementi, „prebunking” narracji, znakowanie treści syntetycznych, współpraca z platformami ds. nadużyć.
  7. Ćwiczenia i testy:
    • Purple-team z TTP aktorów PRC (spear-phish → web-shell → AD); testy tabletop z wątkiem IO (kto komunikuje co, kiedy i jak).
  • Tajwan vs. Zachód: część TTP (phishing, exploity perymetru) jest wspólna, ale skala i intensywność IO wobec Tajwanu jest wyższa ze względu na bliskość geopolityczną i długotrwały spór o suwerenność.
  • Rok 2025 vs. 2024: wzrost wolumenu ataków o ~17% i wyraźniejsze ślady użycia GenAI po stronie przeciwnika.

Podsumowanie / kluczowe wnioski

Tajwan raportuje rekordową presję w cyberprzestrzeni: miliony prób naruszeń dziennie oraz skoordynowane operacje wpływu, coraz częściej wsparte generatywną AI. Dla podmiotów publicznych i operatorów krytycznych to sygnał do podniesienia gotowości – od MFA odpornego na phishing, przez przyspieszone łatanie perymetru i zaawansowany hunting, po procedury reagowania na dezinformację i „prebunking”.

Źródła / bibliografia

  • The Record by Recorded Future – „Taiwan reports surge in Chinese cyber activity and influence operations”, 14 października 2025. (The Record from Recorded Future)
  • Reuters – „Taiwan flags rise in Chinese cyberattacks, warns of 'online troll army’”, 14 października 2025. (Reuters)
  • Taipei Times – „Government network hit by over 2.8 million cyberattacks a day”, 13–14 października 2025. (Taipei Times)
  • Google Threat Analysis Group (TAG) – „New efforts to disrupt DRAGONBRIDGE spam activity”, 26 czerwca 2024. (blog.google)
  • Reuters – „Taiwan says China using generative AI to ramp up disinformation…”, 8 kwietnia 2025. (Reuters)

Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań

Fundamenty efektywnego promptowania

Prompty AI to nic innego jak instrukcje lub pytania, które zadajemy modelom sztucznej inteligencji (np. ChatGPT), aby uzyskać od nich użyteczną odpowiedź. Odpowiednio sformułowane prompty potrafią znacznie usprawnić pracę specjalistów ds. bezpieczeństwa informacji – od analizy zagrożeń, przez automatyzację żmudnych zadań, po cele edukacyjne. Nic dziwnego, że w ostatnim czasie ChatGPT stał się gorącym tematem w IT – znajduje coraz szersze zastosowanie, także w cybersecurity.

Czytaj dalej „Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań”

SIGMA –Uniwersalny Język Reguł Detekcji: Od Podstaw do Integracji z SIEM – Część 3

Studium przypadków i praktyczna integracja z systemami bezpieczeństwa

W części pierwszej oraz częsci drugiej omówiliśmy, czym jest Sigma, jak wygląda struktura jej reguł w formacie YAML oraz jak można konwertować je do języków zapytań konkretnych platform SIEM i EDR – takich jak Splunk, Elastic, Sentinel czy QRadar. Poznaliśmy też rolę Sigma w ustandaryzowaniu procesu detekcji i w budowie spójnych mechanizmów obronnych w środowiskach hybrydowych.

Czytaj dalej „SIGMA –Uniwersalny Język Reguł Detekcji: Od Podstaw do Integracji z SIEM – Część 3”

SIGMA – Uniwersalny Język Reguł Detekcji: Od Podstaw do Integracji z SIEM – Część 2

Dlaczego warto integrować reguły Sigma z platformami SIEM/EDR?

Sigma stała się „uniwersalnym językiem” opisu reguł detekcji zagrożeń w logach – czymś w rodzaju „SQL dla bezpieczeństwa” pozwalającym zdefiniować wykrywanie raz, a wykorzystywać na wielu platformach SIEM/EDR.

Czytaj dalej „SIGMA – Uniwersalny Język Reguł Detekcji: Od Podstaw do Integracji z SIEM – Część 2”

SIGMA – Uniwersalny Język Reguł Detekcji: Od Podstaw Do Integracji Z SIEM – Część 1

Wprowadzenie do detekcji opartej na logach i problemu braku standaryzacji

Detekcja zagrożeń oparta na logach jest fundamentem działania zespołów bezpieczeństwa (SOC) – to dzięki analizie dzienników zdarzeń systemów i aplikacji można wykrywać niepożądane aktywności. Historycznie jednak każde narzędzie SIEM (Security Information and Event Management) czy system analizy logów wprowadzało własny język zapytań lub reguł detekcji.

Czytaj dalej „SIGMA – Uniwersalny Język Reguł Detekcji: Od Podstaw Do Integracji Z SIEM – Część 1”