Archiwa: Ransomware - Strona 109 z 112 - Security Bez Tabu

Tag: Ransomware

CISA dodaje 5 nowych luk do katalogu KEV (14 października 2025) — co to oznacza dla Twojej organizacji

Wprowadzenie do problemu / definicja luki

14 października 2025 r. amerykańska CISA dodała pięć nowych, aktywnie wykorzystywanych luk do katalogu Known Exploited Vulnerabilities (KEV). Dodanie do KEV oznacza, że istnieją wiarygodne dowody nadużyć „in the wild”, a dla agencji federalnych wyznaczany jest twardy termin remediacji zgodnie z dyrektywą BOD 22-01. W praktyce to także sygnał „patch now” dla sektora prywatnego.

W skrócie

  • Nowe CVE w KEV (5):
    • CVE-2025-24990 — Windows (sterownik Agere Modem, „untrusted pointer dereference”).
    • CVE-2025-47827IGEL OS 10 (obejście Secure Boot przez użycie klucza po dacie ważności).
    • CVE-2025-59230 — Windows Remote Access Connection Manager (podniesienie uprawnień).
    • CVE-2016-7836SKYSEA Client View (zdalne wykonanie kodu, CVSS 9.8).
    • CVE-2025-6264Rapid7 Velociraptor (błędne domyślne uprawnienia → wykonanie poleceń).
  • Dlaczego teraz? Fala wpisów koreluje z październikowym Patch Tuesday (Microsoft) i świeżymi obserwacjami nadużyć (m.in. Velociraptor w incydentach ransomware).
  • Termin (FCEB): dla nowych pozycji z 14.10.2025 CISA wyznacza deadline 4 listopada 2025. To dobra praktyka także dla firm prywatnych.

Kontekst / historia / powiązania

Katalog KEV to „lista wstydu” produktów z lukami, które naprawdę są wykorzystywane. Wpis do KEV wymusza na podmiotach federalnych priorytetową remediację (zwykle w 21 dni), a w wyjątkowych sytuacjach — szybciej. W 2025 r. KEV był wielokrotnie uzupełniany falami po Patch Tuesday oraz po publicznych raportach o nadużyciach (np. ransomware wykorzystujący Velociraptor).

Analiza techniczna / szczegóły luki

1) CVE-2025-24990 — Microsoft Windows (sterownik Agere Modem)

  • Typ/efekt: dereferencja niezaufanego wskaźnika w sterowniku, potencjalne EoP/RCE w zależności od kontekstu wywołania.
  • Kontekst: sterownik jest dostarczany z wieloma wersjami Windows; Microsoft oznaczył problem jako eksploatowany.
  • Działania: usuń/wyłącz sterownik tam, gdzie niepotrzebny; zastosuj poprawki Microsoftu.

2) CVE-2025-47827 — IGEL OS 10 (Secure Boot bypass)

  • Typ/efekt: bypass Secure Boot — użycie klucza po dacie ważności w module igel-flash-driver umożliwia podmianę obrazu rootfs (SquashFS) i uruchomienie niepodpisanego systemu.
  • Wpływ: fizyczny napastnik może osiągnąć trwałą, wczesną persystencję (bootkit).
  • Termin KEV: dodane 14.10 → due 04.11.2025 (wpis CISA odnotowany w NVD).
  • Działania: aktualizacja do IGEL OS v11+; wymuszenie poprawnego łańcucha zaufania i weryfikacji podpisów.

3) CVE-2025-59230 — Windows RASMAN (Elevation of Privilege)

  • Typ/efekt: Improper Access Control → lokalne EoP do SYSTEM.
  • Wektor: lokalny, niski poziom złożoności (AC:L).
  • Działania: wdrożyć poprawki z październikowego Patch Tuesday; uzupełnić detekcje na nietypowe użycia usług RAS.

4) CVE-2016-7836 — SKYSEA Client View (RCE)

  • Typ/efekt: Improper Authentication w połączeniu TCP z konsolą zarządzającą → RCE bez uwierzytelnienia; CVSS 3.x: 9.8 (CRITICAL).
  • Status KEV: dodane 14.10.2025 z terminem 04.11.2025.
  • Działania: aktualizacja powyżej wersji 11.221.03; segmentacja sieci, ograniczenie dostępu do portów zarządzania.

5) CVE-2025-6264 — Rapid7 Velociraptor (default permissions)

  • Typ/efekt: artefakt Admin.Client.UpdateClientConfig nie wymagał dodatkowego uprawnienia; użytkownik z rolą Investigator mógł zdalnie zaktualizować konfigurację klienta i wykonać polecenia → przejęcie endpointu.
  • Kontekst nadużyć: wykorzystywane w realnych atakach (m.in. kampanie ransomware); wpis do KEV z terminem 04.11.2025.
  • Działania: aktualizacja do wersji z łatką; przegląd ról/uprawnień i artefaktów; telemetria na „nietypowe” aktualizacje konfiguracji klienta.

Praktyczne konsekwencje / ryzyko

  • Łańcuchy ataków mieszanych: lokalne EoP w Windows (CVE-2025-59230, CVE-2025-24990) świetnie łączą się z ucieczkami z przeglądarek/aplikacji jako etap 2 eskalacji.
  • Uderzenie w kontrolę rozruchu: obejście Secure Boot (IGEL) umożliwia „pre-EDR” trwałość — klasyczne narzędzie APT i operatorów ransomware.
  • Nadużywanie narzędzi „dobrych”: Velociraptor w rękach napastnika zmniejsza szanse detekcji (Living-off-the-Land Tooling).
  • Dziedzictwo w środowisku: stary SKYSEA (2016) pokazuje, że legacy potrafi wrócić jako „nowo” eksploatowane, jeśli pozostało w ekosystemie.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytet łatania do 4 listopada 2025 (lub szybciej w środowiskach wysokiego ryzyka):
    • Windows: wdrożyć pełny zestaw poprawek z Patch Tuesday (X.2025); osobno usunąć/wyłączyć sterownik Agere tam, gdzie niepotrzebny.
    • IGEL OS: aktualizacja do v11+, weryfikacja implementacji Secure Boot, odświeżenie kluczy.
    • Velociraptor: aktualizacja do wersji z łatką; przegląd ról (odebranie zbędnego COLLECT_CLIENT), ograniczenie artefaktów administracyjnych; monitorowanie nietypowych update’ów konfiguracji.
    • SKYSEA: aktualizacja powyżej 11.221.03; izolacja hostów zarządzania; wymuszenie TLS i list ACL na portach zarządzania.
  2. Detekcja i hunting (propozycje szybkich use-case’ów):
    • Windows EoP: nietypowe uruchomienia/usługi RAS, anomalie w sterownikach, ładowanie ltmdm64.sys (Agere).
    • IGEL: integralność łańcucha rozruchu, zmiany w partycji rozruchowej, niestandardowe obrazy SquashFS.
    • Velociraptor: zdarzenia „UpdateClientConfig”, modyfikacje polityk klienta, uruchomienia powłoki/VS Code z procesu agenta.
  3. Higiena uprawnień i ekspozycji: minimalizacja ról „Investigator” w Velociraptorze; ograniczenie dostępu do konsol (SKYSEA) sieciowo i VPN; app allow-listing dla narzędzi z uprawnieniami systemowymi.
  4. Zarządzanie ryzykiem dostawców/OT: jeśli używasz IGEL lub SKYSEA w środowiskach kiosków/terminali/OT, zaplanuj okno serwisowe i rollback plan — obejście Secure Boot w terminalach może zniweczyć kontrolę zaufania na brzegu.

Różnice / porównania z innymi przypadkami

  • Stara luka, nowe nadużycia: CVE-2016-7836 (SKYSEA) przypomina inne „archeologiczne” wpisy KEV — podatności latami „znane”, ale wciąż wykorzystywane tam, gdzie oprogramowanie przetrwało w niszach.
  • LOLBIN vs. LOTool: w 2024–2025 dużo mówiliśmy o LOLBIN-ach; przypadek Velociraptora to LOTool — legalne narzędzie admina użyte jako wektor ataku (podobnie jak nadużycia RMM/EDR).

Podsumowanie / kluczowe wnioski

  • KEV = kolejka „MUST-DO”: pięć nowych pozycji to czytelny backlog na najbliższe dni.
  • Zwróć uwagę na łańcuch startowy i narzędzia admina (IGEL, Velociraptor) — to wektory o wysokiej wartości dla napastników.
  • Nie zapominaj o legacy: nawet „odległe” CVE (SKYSEA 2016) wracają, jeśli produkt nadal żyje w środowisku.
  • Termin dla FCEB: 4 listopada 2025 — rozsądny SLA także dla sektora prywatnego.

Źródła / bibliografia

  1. CISA — Strona główna (zapowiedź alertu z 14.10.2025). (CISA)
  2. NVD (NIST)CVE-2016-7836 (SKYSEA) — opis, CVSS 9.8, wpis do KEV z terminem 04.11.2025. (NVD)
  3. NVD (NIST)CVE-2025-59230 (Windows RASMAN) — opis EoP. (NVD)
  4. NVD (NIST)CVE-2025-6264 (Rapid7 Velociraptor) — opis błędnych uprawnień. (NVD)
  5. NVD/CVE.org / analizy Patch TuesdayCVE-2025-24990 (Agere driver) — rekord CVE; dodatkowy kontekst eksploatacji i rekomendacji z przeglądu Patch Tuesday (Tenable). (CVE)

SAP łata krytyczne luki w NetWeaver AS Java, Print Service (SAPSprint) i SRM — październikowy Patch Day 2025

Wprowadzenie do problemu / definicja luk

SAP opublikował październikowy zestaw poprawek bezpieczeństwa, obejmujący łącznie kilkanaście nowych i zaktualizowanych not Security Notes. Wśród nich znajdują się trzy krytyczne luki: maksymalnie poważna podatność w NetWeaver AS Java (RMI/P4 — insecure deserialization), krytyczne obejście ścieżek (directory traversal) w SAP Print Service / SAPSprint, oraz poważna podatność w SAP SRM umożliwiająca nieautoryzowany upload plików.

W skrócie

  • NetWeaver AS Java (RMI/P4): luka klasy insecure deserialization, CVSS 10.0 — umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Wymaga natychmiastowej aktualizacji.
  • SAP Print Service / SAPSprint: directory traversal (CVSS 9.8) — atakujący bez uwierzytelnienia może nadpisywać pliki systemowe na serwerze wydruku; SAP Note 3630595. W niektórych źródłach powiązana z CVE-2025-42937.
  • SAP SRM: podatność arbitrary file upload; brak obejścia — konieczna instalacja poprawki (np. SAP Note 3647332).

Kontekst / historia / powiązania

W ostatnich miesiącach ekosystem SAP obserwował falę krytycznych poprawek (m.in. we wrześniu) oraz realne kampanie wykorzystujące luki w NetWeaver (np. CVE-2025-31324 wykorzystywane w atakach do instalacji backdoorów). Dzisiejszy Patch Day wpisuje się w trend priorytetowego łatania komponentów dostępnych z sieci i mechanizmów uploadu/serializacji.

Analiza techniczna / szczegóły luki

1) NetWeaver AS Java — RMI/P4 insecure deserialization (CVSS 10.0)

  • Wektor: sieciowy, brak uwierzytelnienia; podatny kanał RMI/P4 (AS Java).
  • Skutek: zdalne wykonanie poleceń na systemie operacyjnym (RCE).
  • Ryzyko: natychmiastowa eskalacja do pełnego przejęcia hosta aplikacyjnego.
  • Mitigacje czasowe: ograniczenie / filtrowanie dostępu do RMI/P4 wyłącznie z zaufanych podsieci; segmentacja; WAF/IPS z sygnaturami pod deserialization.
    Fakty i parametry potwierdza bieżące omówienie Patch Day.

2) SAP Print Service / SAPSprint — directory traversal (CVSS 9.8) — SAP Note 3630595

  • Komponent: SAP Print Service (SAPSprint) — serwer zdalnego drukowania (często na Windows).
  • Wektor: brak uwierzytelnienia; manipulacja ścieżką (path traversal) pozwala na „climbing” katalogów i nadpisanie plików systemowych.
  • Skutek: naruszenie C/I/A — od wycieku po trwałe uszkodzenie systemu, możliwość eskalacji i utrwalania dostępu.
  • CVE: źródła branżowe mapują tę lukę do CVE-2025-42937 (nomenklatura może się różnić między vendorami).
  • FAQ/uwagi: SAP opublikował dodatkowy FAQ Note do tej poprawki.

3) SAP SRM — arbitrary file upload (np. SAP Note 3647332)

  • Wektor: przesył plików w wybranych komponentach SRM; brak wystarczających walidacji.
  • Skutek: możliwość umieszczenia i wykonania złośliwych artefaktów w kontekście aplikacji, prowadząca do przejęcia systemu lub pivotu.
  • Workaround: brak skutecznych obejść — wymagane natychmiastowe wdrożenie noty.

Praktyczne konsekwencje / ryzyko

  • RCE i trwałe przejęcie serwerów aplikacyjnych (AS Java) oraz nadpisanie krytycznych plików (SAPSprint) mogą skutkować paraliżem usług biznesowych, utratą danych i szantażem ransomware.
  • Łańcuchowanie: upload w SRM ⇒ implant web-shell ⇒ ruch boczny do AS Java ⇒ wykorzystanie RMI/P4 ⇒ dominacja domeny / chmury.
  • Ekspozycja z Internetu: serwisy drukowania i RMI/P4 ujawnione do sieci publicznej znacząco zwiększają prawdopodobieństwo skanu i szybkiej eksploatacji po publikacji poprawek.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytetyzuj patching:
    • NetWeaver AS Java (RMI/P4 deserialization — CVSS 10.0) — natychmiast.
    • SAP Print Service / SAPSprint — SAP Note 3630595 — w ciągu 24 godzin.
    • SAP SRM — SAP Note 3647332 — pilnie, brak obejść.
  2. Doraźne redukcje ryzyka (gdy patch w toku):
    • Ogranicz dostęp do RMI/P4 i SAPSprint do zaufanych adresów/VPN; zablokuj z Internetu.
    • Włącz reguły IPS/WAF na deserialization, path traversal i file-upload; monitoruj anomalie I/O dysku.
    • Ustaw aplikacyjne allow-listy dla formatów i lokalizacji uploadu (SRM).
  3. Detekcja i IR:
    • Przejrzyj logi dla RMI/P4, ścieżek drukowania i katalogów uploadu; szukaj nietypowych ścieżek z sekwencjami traversal (np. niestandardowe .../...//).
    • Wykonaj integrity check krytycznych plików na serwerach wydruku (Windows), porównując z kopią wzorcową.
    • Jeśli ekspozycja była publiczna, załóż naruszenie i wykonaj threat hunting (web-shells, niepodpisane binaria, schedule tasks).
  4. Zarządzanie podatnościami:
    • Zweryfikuj wszystkie SAP Security Notes z dzisiejszego Patch Day i plan aktualizacji (produkcyjne / non-prod).
    • Upewnij się, że Support Packages i kernel są zgodne z wymaganiami not.

Różnice / porównania z innymi przypadkami

  • RMI/P4 deserialization (AS Java) różni się od niedawnej luki CVE-2025-31324 (Visual Composer uploader) — obie skutkują RCE, ale pierwsza atakuje kanał zdalnego wywołania (serializacja), druga nadużywa mechanizmu uploadu. To inne wektory, mogą jednak być łańcuchowane.
  • SAPSprint traversal to atak na komponent drukowania (często Windows) — jego implikacje (nadpisanie plików) są bardziej „systemowe” niż typowe błędy w warstwie SAP ABAP/Java.

Podsumowanie / kluczowe wnioski

  • Październikowy Patch Day SAP przynosi krytyczne poprawki, z których NetWeaver AS Java (CVSS 10.0) oraz SAPSprint (CVSS 9.8) wymagają natychmiastowych działań, a SRM nie ma obejść poza instalacją poprawek.
  • Organizacje powinny patchować w pierwszej kolejności komponenty sieciowo dostępne, ograniczyć ekspozycję i wdrożyć monitoring anomalii plikowych na serwerach drukowania.

Źródła / bibliografia

  • SecurityWeek: „SAP Patches Critical Vulnerabilities in NetWeaver, Print Service, SRM” (14.10.2025). (SecurityWeek)
  • SAP Support Portal: „Security Patch Day — October 2025” (14.10.2025). (SAP Support Portal)
  • Onapsis Research Labs: „SAP Security Patch Day — October 2025” (analiza, Note 3630595, SAPSprint). (Onapsis)
  • SecurityBridge: „SAP Security Patch Day — October 2025” (Note 3630595 i 3647332 — SRM). (SecurityBridge)
  • RedRays: „October 2025 — Critical Updates” (CVE-2025-42937 / CVSS 9.8 dla Print Service). (RedRays – Your SAP Security Solution)

Windows 10: koniec wsparcia od 14 października 2025 r. — co to oznacza dla bezpieczeństwa i zgodności?

Wprowadzenie do problemu / definicja luki

Microsoft zakończył dziś, 14 października 2025 r., standardowe wsparcie dla Windows 10 (wszystkich edycji 22H2). Od teraz system nie otrzymuje już bezpłatnych aktualizacji zabezpieczeń ani poprawek. Urządzenia będą działać, ale z miesiąca na miesiąc będą coraz bardziej narażone na ataki wykorzystujące nowe luki.

W skrócie

  • Data EoS: 14.10.2025 (koniec aktualizacji i pomocy technicznej).
  • Ostatnia wersja: 22H2 — ostatni release Windows 10.
  • Wyjątki: linie LTSC mają osobne cykle wsparcia.
  • ESU (konsumenci): 1 rok rozszerzonych łat bezpieczeństwa do 13.10.2026 r.; rejestracja: 0 zł (gdy synchronizujesz ustawienia z kontem Microsoft), 1000 punktów Rewards albo 30 USD jednorazowo. Limit do 10 urządzeń na licencję.
  • Microsoft 365 Apps: oficjalne wsparcie na Windows 10 wygasa dziś, ale aktualizacje zabezpieczeń dla M365 będą dostarczane jeszcze do 10.10.2028 r., by ułatwić migrację.

Kontekst / historia / powiązania

Windows 10 zadebiutował w 2015 r. i przez lata był „systemem jako usługą” z półrocznymi aktualizacjami. Microsoft ogłosił, że 22H2 to finalna wersja, a „dni łatkowania” kończą się w październiku 2025 r. Media branżowe od wielu miesięcy ostrzegały użytkowników i firmy przed pozostawaniem na niewspieranej platformie.

Analiza techniczna / szczegóły

Cykl życia i edycje

  • Home/Pro/Enterprise/Education (22H2): koniec wsparcia 14.10.2025.
  • LTSC (np. Enterprise LTSC): nadal wspierane wg własnych harmonogramów.
  • Brak nowych funkcji/driverów/poprawek po tej dacie.

ESU dla użytkowników domowych i SOHO (Consumer ESU)

Microsoft po raz pierwszy udostępnia program ESU dla konsumentów. Kluczowe parametry:

  • Zakres: tylko aktualizacje bezpieczeństwa „Critical/Important” (MSRC). Brak wsparcia technicznego, brak poprawek funkcjonalnych.
  • Dostępność: rejestracja przez Ustawienia → Aktualizacja i zabezpieczenia → Windows Update → Enroll now.
  • Warunki: Windows 10 22H2, konto Microsoft z uprawnieniami administratora.
  • Wyłączenia: urządzenia domenowe/Entra-joined, kiosk, MDM — to już scenariusze komercyjne (dla nich osobny, płatny ESU).
  • Cena/ opcje rejestracji: 0 zł (gdy włączona synchronizacja ustawień), 1000 Rewards, lub 30 USD (równowartość w lokalnej walucie); ważne do 13.10.2026 r.; licencję można użyć na maks. 10 urządzeń.

Microsoft 365 na Windows 10

Aplikacje Microsoft 365 formalnie kończą wsparcie na Windows 10 wraz z EoS, ale — w celu utrzymania bezpieczeństwa — Microsoft będzie dostarczał ich aktualizacje zabezpieczeń do 10.10.2028 r. To nie przywraca wsparcia systemu operacyjnego.

Praktyczne konsekwencje / ryzyko

  • Rosnąca powierzchnia ataku: nowe exploity nie będą łatane w OS bez ESU; z czasem wzrośnie liczba day-0/day-n wymierzonych w Windows 10.
  • Ryzyko zgodności/compliance: w sektorach regulowanych (np. RODO, ISO 27001) używanie niewspieranego OS może naruszać polityki bezpieczeństwa.
  • Łańcuch dostaw i urządzenia brzegowe: endpointy z Win10 bez ESU staną się najsłabszym ogniwem w sieci.
  • Użytkownicy indywidualni: wzrost prawdopodobieństwa infekcji malware/ransomware poprzez przeglądarkę, klienckie aplikacje i sterowniki. Media i Microsoft ostrzegają, że system pozostawiony bez łatek będzie z czasem coraz łatwiejszym celem.

Rekomendacje operacyjne / co zrobić teraz

  1. Sprawdź możliwość aktualizacji do Windows 11 (TPM 2.0, Secure Boot, nowsze CPU). Jeśli sprzęt spełnia wymagania — migruj niezwłocznie.
  2. Jeśli musisz zostać na Windows 10:
    • Zapisz urządzenie do ESU (konsumenckiego) od razu, aby nie pozostawiać luki w oknie bezłatkowym. Włącz synchronizację ustawień z kontem Microsoft, aby skorzystać z opcji bez opłaty, lub użyj 1000 punktów Rewards / 30 USD.
    • Wymuś twardą politykę zabezpieczeń: EDR/antywirus klasy enterprise, kontrola aplikacji, ograniczenie makr, segmentacja sieci, pełne szyfrowanie dysków.
    • Ogranicz ekspozycję: pracuj na koncie standardowym, aktualizuj przeglądarkę i aplikacje firm trzecich, wyłącz zbędne usługi/porty.
  3. Dla organizacji: rozważ komercyjny ESU (płatny, do 3 lat) i plan migracji do Windows 11/Windows 365. Zgodność i audyty powinny wymagać dat wyłączeń dla hostów Win10.
  4. Alternatywy dla sprzętu niespełniającego wymagań: Linux desktop lub modernizacja sprzętu; traktuj to jako most, nie docelowy stan bezpieczeństwa. (Rekomendacja ogólna; wybór zależny od profilu ryzyka i aplikacji.)

Różnice / porównania z innymi przypadkami

  • LTSC vs. standardowe edycje: LTSC zachowuje wsparcie według własnych terminów (dłuższe okna serwisowe), ale dotyczy specyficznych środowisk (urządzenia specjalistyczne).
  • ESU konsumenckie vs. komercyjne: Consumer ESU — 1 rok, prosty onboarding przez Windows Update; Commercial ESU — do 3 lat, zarządzanie kluczami/MDM, dla urządzeń domenowych/zarządzanych.
  • Windows 11: ciągłe łaty, funkcje zabezpieczeń (TPM 2.0, HVCI, Smart App Control, ulepszenia kernel/driver), aktywnie rozwijany ekosystem. (Kontekst migracyjny.)

Podsumowanie / kluczowe wnioski

  • Windows 10 bez ESU = niewspierany i podatny od 14.10.2025 r.
  • Masz trzy ścieżki: (1) migracja do Windows 11, (2) ESU na 1 rok (konsumenci) / do 3 lat (firmy), (3) wymiana/modernizacja sprzętu lub zmiana OS.
  • Jeśli pozostajesz na Win10 choćby tymczasowo — zapisz się do ESU natychmiast i podnieś poziom zabezpieczeń endpointów.

Źródła / bibliografia

  • Microsoft Support — „Windows 10 support ends on October 14, 2025” (daty EoS, M365 Apps). (Microsoft Support)
  • Microsoft Learn — cykl życia Windows 10 (22H2 ostatnią wersją; wyjątki LTSC). (Microsoft Learn)
  • Microsoft — „Windows 10 Consumer Extended Security Updates (ESU)” (warunki, cena, rejestracja, zakres). (Microsoft)
  • BleepingComputer — przypomnienie o EoS i zagrożeniach pozostania na Win10. (BleepingComputer)
  • The Verge — tło migracyjne i bariery sprzętowe Windows 11. (The Verge)

Grupa wymuszeniowa publikuje miliony rekordów z ataków na klientów Salesforce. Co naprawdę się stało i jak się bronić

Wprowadzenie do problemu / definicja luki

Ekstorcjonistyczna grupa Scattered LAPSUS$ Hunters opublikowała w sieci zestawy danych skradzionych z instancji Salesforce należących do wielu firm. Wyciek nastąpił po nieudanym wymuszeniu okupu – Salesforce publicznie zadeklarował, że nie zapłaci i nie będzie negocjować. Co istotne, sam rdzeń platformy Salesforce nie został naruszony; ataki uderzyły w klientów i ich integracje/aplikacje oraz ludzi (socjotechnika). Na liście ofiar wymieniono m.in. Albertsons, Engie Resources, Fujifilm, GAP, Qantas i Vietnam Airlines. Qantas informował wcześniej o potencjalnie ~5–6 mln dotkniętych klientów, a w przypadku Vietnam Airlines usługę Have I Been Pwned odnotowała ~7,3 mln kont.

W skrócie

  • Kto? Kolektyw Scattered LAPSUS$ Hunters (powiązania z Lapsus$, Scattered Spider, ShinyHunters).
  • Co? Wyciek części danych i groźby ujawnienia kolejnych – łącznie przestępcy chwalili się setkami milionów do ~1 mld rekordów z dziesiątek firm korzystających z Salesforce.
  • Jak? Dwie równoległe ścieżki:
    1. Vishing/Help Desk → skłonienie pracowników do instalacji spreparowanego Salesforce Data Loader / uzyskania dostępu do kont.
    2. Przejęte tokeny OAuth aplikacji Salesloft Drift → masowy eksport danych z obiektów Salesforce.
  • Stanowisko Salesforce: brak dowodów na kompromitację platformy; firma nie zapłaci okupu.
  • Działania organów ścigania: zaburzenie infrastruktury wymuszeniowej grupy przez FBI; mimo to część danych wyciekła.

Kontekst / historia / powiązania

Początek października przyniósł uruchomienie przez grupę własnego serwisu wyciekowego i eskalację gróźb wobec ~39 wskazanych firm-klientów Salesforce. Jednocześnie pojawiły się potwierdzone publikacje danych (m.in. Qantas, Vietnam Airlines). Wcześniejsze ostrzeżenia pochodziły od Google Threat Intelligence/Mandiant oraz FBI, które niezależnie opisały dwie aktywne komórki (UNC6040 i UNC6395) polujące na instancje Salesforce różnymi metodami.

Analiza techniczna / szczegóły luki

Ścieżka A – socjotechnika i Data Loader (UNC6040):

  • Atakujący używali vishingu (podszywanie się pod IT Service Desk), aby nakłonić pracowników do instalacji zmodyfikowanego Salesforce Data Loader lub udostępnienia danych logowania/MFA.
  • Po uzyskaniu dostępu następował eksport masowy rekordów (PII, dane programów lojalnościowych, profile użytkowników).

Ścieżka B – tokeny OAuth i integracje (UNC6395):

  • Kompromitacja tokenów OAuth aplikacji Salesloft Drift; w odpowiedzi 20 sierpnia unieważniono tokeny Drift i wyłączono aplikację w AppExchange.
  • Napastnicy wykonywali SOQL z kont zaufanych aplikacji, zliczając i pobierając obiekty Account, Opportunity, User, Case, oraz wyszukiwali w danych sekrety (np. AKIA, hasła, tokeny Snowflake).
  • GTIG/Mandiant opublikowali IOC (m.in. UA „Salesforce-Multi-Org-Fetcher/1.0”, zakres IP – również węzły Tor) i szczegółowe zapytania SOQL pomocne w detekcji.

Dlaczego ofiary są podatne?

  • Nadmierne uprawnienia Connected Apps („full access”), zbyt liberalne IP Relaxation, brak restrykcji API na profilach, niewłaściwy lifecycle tokenów i zbyt długie sesje.

Praktyczne konsekwencje / ryzyko

  • Ryzyko nadużyć PII: phishing ukierunkowany, oszustwa podróżnicze/lojalnościowe (linie lotnicze), przejęcia kont.
  • Ryzyko wtórne (pivot): wyciek tajnych kluczy/API znalezionych w rekordach Salesforce → dalsze włamania do AWS/Snowflake i systemów SaaS.
  • Chaos informacyjny: część deklaracji grupy jest przesadzona lub niespójna (np. „nie możemy więcej wyciekać”), co utrudnia ocenę pełnej skali, ale potwierdzone wycieki już mogą skutkować incydentami fraudowymi.

Rekomendacje operacyjne / co zrobić teraz

1) Reagowanie i łagodzenie skutków (Salesforce/SecOps)

  • Przegląd logów: Event Monitoring (zwł. Connected App OAuth Usage, Login, API, UniqueQuery), anomalia w UA i adresach z IOC (Tor/Cloud).
  • Rotacja sekretów: natychmiast unieważnij i odtwórz tokeny OAuth, API keys, hasła powiązane z integracjami; usuń nadmiarowe refresh tokens.
  • Ogranicz Connected Apps: minimalne scopes, IP restrictions, wyłącz „API Enabled” poza uprzywilejowanymi Permission Sets; ustaw krótsze sesje i wymuś MFA.
  • Wyszukiwanie sekretów w danych: przeszukaj obiekty (Case, Attachment, Task, Chatter) pod kątem AKIA, password, Snowflake, URL-i logowania; zastosuj narzędzia typu TruffleHog.

2) Twardnienie procesów i ludzi

  • Help Desk Playbook: blokada realizacji żądań przez telefon/voice bez out-of-band potwierdzenia i weryfikacji tożsamości; zakaz dyktowania kodów MFA/SSO.
  • Dystrybucja oprogramowania: instalatory Salesforce Data Loader wyłącznie z oficjalnych źródeł, podpisy cyfrowe, listy dozwolonych hashy, EDR.

3) Komunikacja z klientami i monitoring nadużyć

  • Powiadomienie osób, których dotyczy sprawa; brand-monitoring pod kątem phish-kampanii podszywających się pod firmę/lojalności.
  • Dodatkowe kontrole ryzyka transakcji i weryfikacje zmian danych (adresy, telefony) w systemach lojalnościowych.

4) Współpraca z dostawcami i organami

  • Wykonaj zalecenia Salesforce/Salesloft; zgłoś ślady kompromitacji do FBI/CERT (flash TLP:CLEAR nt. UNC6040/UNC6395).

Różnice / porównania z innymi przypadkami

  • Nie jest to „klasyczny” ransomware: brak szyfrowania, czysta ekstorsja danych + presja medialna.
  • Atak na ekosystem SaaS: kruche punkty to integracje i tożsamość, a nie zero-day w samym Salesforce – odmiennie np. od incydentów z lukami w platformach on-prem.

Podsumowanie / kluczowe wnioski

  • Wyciek ujawnia strukturalną słabość: zaufane aplikacje i tokeny OAuth są „złotym kluczem” do danych CRM.
  • Wzmocnienie Connected Apps, monitoring SOQL, rotacja sekretów i dyscyplina operacyjna są dziś ważniejsze niż kiedykolwiek.
  • Organy ścigania potrafią zakłócić infrastrukturę wymuszeniową, ale skutki wycieku (phishing, oszustwa, przejęcia kont) pozostają i wymagają długofalowej obrony.

Źródła / bibliografia

  1. SecurityWeek – przegląd publikacji danych (Albertsons, Engie, Fujifilm, GAP, Qantas, Vietnam Airlines) i kontekst 39 ofiar. (SecurityWeek)
  2. Reuters – potwierdzenia dot. skali („~1 mld rekordów”), technik vishing oraz stanowiska Salesforce. (Reuters)
  3. Google Cloud Threat Intelligence/Mandiant – techniczne szczegóły kampanii UNC6395 (Drift OAuth), SOQL, IOC, zalecenia. (Google Cloud)
  4. Cybersecurity Dive – deklaracja Salesforce o odmowie płatności, rozdzielenie dwóch kampanii (Data Loader vs. Drift). (cybersecuritydive.com)
  5. BankInfoSecurity/GovInfoSecurity – przebieg publikacji po zakłóceniu przez FBI, liczby dla Qantas/Vietnam Airlines. (BankInfoSecurity)

SimonMed Imaging: wyciek danych po ataku Medusa – 1,28 mln rekordów pacjentów

Wprowadzenie do problemu / definicja luki

SimonMed Imaging – jedna z największych sieci diagnostyki obrazowej w USA (170+ placówek, 10 stanów) – potwierdziła naruszenie ochrony danych wynikające z ataku ransomware Medusa. W ujawnieniu przekazano, że nieuprawniony dostęp do systemów trwał od 21 stycznia do 5 lutego 2025 r., a wyciek dotyczy ponad 1,2 mln osób. Incydent został publicznie powiązany z grupą Medusa, która wcześniej chwaliła się kradzieżą ~200 GB danych i żądała ok. 1 mln USD okupu.

W skrócie

  • Skala: 1 275 669 osób (dane PHI/PII). Powiadomienia wysyłane od 10 października 2025 r.
  • Wejście napastników: między 21.01–05.02.2025; wykrycie własne 28.01 po alercie od dostawcy 27.01.
  • Sprawcy: Medusa (RaaS), deklaracja kradzieży ~200 GB, żądanie 1 mln USD.
  • Zakres danych: m.in. imię i nazwisko, adres, data urodzenia, nr ubezpieczenia, dane prawa jazdy/ID, SSN, dane kont finansowych, poświadczenia dostępu, informacje medyczne (diagnoza, leczenie, MRN).

Kontekst / historia / powiązania

Pierwsze sygnały o kampanii Medusa wobec SimonMed pojawiły się w lutym 2025 r., gdy grupa opublikowała „proof files” i termin zapłaty, deklarując setki gigabajtów skradzionych danych. W bazach urzędowych (AG Maine, OCR/HHS) przypadek figuruje jako naruszenie PHI >500 osób, zaktualizowane obecnie do ponad 1,27 mln. Jednocześnie CISA klasyfikuje Medusę jako aktywny ekosystem RaaS operujący od 2021 r., wielokrotnie uderzający w sektor ochrony zdrowia.

Analiza techniczna / szczegóły luki

Z publicznego Notice of Data Incident wynika, że po alercie dostawcy (27.01) SimonMed wykrył „podejrzaną aktywność” 28.01 i podjął działania zaradcze: reset haseł, wzmocnienie MFA, wdrożenie EDR, odcięcie bezpośrednich dostępów vendorów, whitelistowanie ruchu, zgłoszenie do organów ścigania i angaż ekspertów ds. prywatności/bezpieczeństwa. To wskazuje na wektor powiązany z łańcuchem dostaw lub nadużyciem dostępu pośrednika. Dokładna technika wejścia nie została podana, ale charakter danych („poświadczenia uwierzytelniające” wśród skradzionych) sugeruje, że częścią incydentu mogła być kradzież haseł/tokenów i lateral movement.

Kategorie danych objętych incydentem (wybór):

  • PII: imię i nazwisko, adres, data urodzenia, nr prawa jazdy/ID, SSN;
  • Dane finansowe: numery kont;
  • Dane medyczne/PHI: data usługi, nazwa świadczeniodawcy, MRN/patient number, diagnoza, leczenie, leki, informacje o ubezpieczeniu;
  • Poświadczenia dostępu (credentials).

Praktyczne konsekwencje / ryzyko

  • Ryzyko kradzieży tożsamości i nadużyć ubezpieczeniowych: zestawienie PII+PHI+SSN to pełny profil do fraudów finansowych i medycznych (np. wyłudzeń świadczeń).
  • Dalsza monetyzacja danych: taktyka Medusy obejmuje publikację/sprzedaż dumpów, co zwiększa dług ogonowy ryzyka (months–years).
  • Ryzyko wtórne dla organizacji: potencjalne pozwy zbiorowe, koszty notyfikacji i wsparcia, sankcje OCR/HHS za naruszenie HIPAA (w przypadku stwierdzenia niezgodności).

Rekomendacje operacyjne / co zrobić teraz

Dla pacjentów SimonMed

  1. Zamrożenie kredytu (security freeze) i alerty fraudowe w biurach kredytowych; monitorowanie raportów (annualcreditreport.com) – wskazówki w oficjalnym zawiadomieniu.
  2. Zmiana haseł i włączenie MFA w serwisach powiązanych (poczta, portale pacjenta, ubezpieczyciele).
  3. Obserwacja EOB/rachunków pod kątem nieznanych usług medycznych; szybka reklamacja u ubezpieczyciela.
  4. Ostrożność wobec phishingu podszywającego się pod SimonMed/ubezpieczyciela.

Dla organizacji ochrony zdrowia (lekcje z incydentu)

  • Higiena dostawców: Zero Trust dla łańcucha dostaw: brak stałych tuneli, JIT/JEA, segmentacja, MFA z FIDO2 dla kont vendorów, pełny loging i polityka zapytań serwisowych.
  • EDR + telemetry fusion: korelacja EDR, dzienników IdP, VPN, proxy; detekcje „impossible travel”, MFA fatigue i anomalii poświadczeń.
  • Ochrona poświadczeń: wdrożenie phishing-resistant MFA, rotacja kluczy/API, seedy TOTP poza stacjami roboczymi, Secret Scanning w repozytoriach.
  • Backupy odporne na modyfikację: immutability (WORM), air-gap, testy przywracania tabletop co 90 dni.
  • DLP/klass. danych: oznaczanie PHI/PII, minimalizacja retencji; szyfrowanie w spoczynku i w tranzycie, monitoring exfiltracji (TLS SNI/DNS egress).
  • Ćwiczenia IR: playbook „ransomware+exfil” z osobnymi ścieżkami dla danych medycznych i powiadomień stanowych (AG/OCR).

Różnice / porównania z innymi przypadkami Medusa

  • Wektor i taktyki: zgodne z profilem Medusy opisanym przez CISA (RaaS, kradzież danych przed wymuszeniem, groźby publikacji).
  • Zakres danych: rzadziej spotykane jest jednoczesne wystąpienie poświadczeń i pełnych PHI/SSN – podnosi to próg ryzyka względem wielu „typowych” incydentów medycznych.
  • Skala: 1,28 mln czyni ten przypadek jednym z największych ujawnionych w sektorze ochrony zdrowia w 2025 r. (wg branżowych zestawień).

Podsumowanie / kluczowe wnioski

Atak Medusa na SimonMed to klasyczna, dane-najpierw kampania wymuszeniowa z silnym komponentem łańcucha dostaw. Skala (1,28 mln rekordów), szeroka mieszanka PHI/PII/SSN/credentials oraz długi czas ekspozycji (15 dni) oznaczają istotne ryzyko dla pacjentów. Organizacje medyczne powinny traktować dostawców jak potencjalne pivots, wymuszając phishing-resistant MFA, segmentację i obserwowalność na poziomie tożsamości – zanim dojdzie do exfiltracji.

Źródła / bibliografia

  • SecurityWeek: „SimonMed Imaging Data Breach Impacts 1.2 Million” (13 października 2025). SecurityWeek
  • SimonMed – Notice of Data Incident (aktualna strona). SimonMed Website
  • HIPAA Journal: „SimonMed Imaging confirms January 2025 cyberattack; 1,275,669 affected; letters mailed Oct 10, 2025”. The HIPAA Journal
  • Maine Attorney General – rejestr zgłoszeń (pozycja SimonMed). maine.gov
  • CISA: „#StopRansomware: Medusa Ransomware” (12 marca 2025) – charakterystyka grupy. CISA

SonicWall: masowe przejęcia kont SSL VPN po incydencie z kopią zapasową konfiguracji — co wiemy i co robić

Wprowadzenie do problemu / definicja luki

10 października 2025 r. firma Huntress ostrzegła przed szeroko zakrojoną kampanią przejęć kont SonicWall SSL VPN, w której napastnicy logowali się „lawinowo” na wiele kont, najpewniej używając prawidłowych poświadczeń, a nie siłowego łamania haseł. Do 10 października skompromitowano ponad 100 kont w 16 środowiskach, a znaczna część aktywności zaczęła się 4 października. SecurityWeek potwierdził skalę zjawiska, powołując się na dane Huntress.

W skrócie

  • Co się stało: trwają ataki polegające na poprawnym logowaniu do kont SSL VPN w urządzeniach SonicWall (bez brute force). Jedno ze źródeł logowań wskazuje na adres 202.155.8[.]73.
  • Kontekst: kilka dni wcześniej SonicWall ujawnił, że nieuprawniony dostęp do usługi MySonicWall Cloud Backup objął wszystkich klientów przechowujących kopie konfiguracji firewalli (pierwotnie szacowano <5%).
  • Czy sprawy są powiązane? Huntress nie ma dowodów na bezpośrednie powiązanie, ale go nie wyklucza.
  • Ryzyko: wyciek zaszyfrowanych poświadczeń i danych konfiguracyjnych może ułatwić ataki ukierunkowane; obserwowane są także skanowania sieci i próby dostępu do kont w domenie.

Kontekst / historia / powiązania

8 października 2025 r. SonicWall zaktualizował poradnik incydentowy, kończąc dochodzenie (z Mandiant) i potwierdzając, że wszystkie kopie konfiguracji przechowywane w chmurze były dostępne dla atakującego. CISA z kolei opublikowała ostrzeżenie i wskazówki dla klientów SonicWall w związku z tym zdarzeniem.

W lipcu–wrześniu obserwowano równolegle aktywność związaną z ransomware Akira i urządzeniami SonicWall/SMA/SSL VPN; mimo że to inna oś narracji, podkreśla ona rosnącą atrakcyjność ekosystemu SonicWall dla grup przestępczych.

Analiza techniczna / szczegóły luki

  • Wektor dostępu w bieżącej kampanii: logowania z prawidłowymi poświadczeniami do SSL VPN (szybkie serie logowań; brak oznak bruteforce). Część sesji kończy się natychmiastowym rozłączeniem, w innych przypadkach stwierdzono działania potexploitacyjne (skanowanie, próby dostępu do lokalnych kont Windows).
  • Incydent chmurowy MySonicWall: napastnik uzyskał dostęp do plików kopii konfiguracji (zawierających m.in. zaszyfrowane hasła/sekrety, reguły, ustawienia VPN, integracje LDAP/RADIUS/TACACS+, SNMP, itp.). SonicWall udostępnił klientom listy dotkniętych urządzeń i klasyfikację priorytetów (Active High/Low/Inactive).
  • Status powiązania zdarzeń: Huntress podkreśla brak dowodu, że masowe logowania są bezpośrednim skutkiem incydentu kopii zapasowej — ale taka możliwość istnieje (np. odtworzenie haseł/sekretów, korelacja konfiguracji).

Praktyczne konsekwencje / ryzyko

  • Ryzyko nadużyć poświadczeń: nawet jeśli dane w kopiach były zaszyfrowane, metadane i konfiguracje mogą obniżyć koszt rekonesansu i ułatwić obejście zabezpieczeń perymetrowych.
  • Ryzyko lateral movement: potwierdzone skanowanie sieci i próby kompromitacji kont AD wskazują na możliwość szybkiej eskalacji uprawnień po wejściu przez SSL VPN.
  • Ryzyko „cichego” dostępu: część aktorów kończy sesję bez dalszych działań — możliwe przygotowanie do późniejszych kampanii lub testy ważności poświadczeń. (Wniosek na podstawie obserwacji Huntress).

Rekomendacje operacyjne / co zrobić teraz

Poniższe kroki zbierają zalecenia SonicWall, Huntress i CISA — w kolejności „od teraz do stabilizacji”:

  1. Natychmiast ogranicz zdalne zarządzanie i dostęp WAN (HTTP/HTTPS/SSH/SSL VPN), aż do pełnej rotacji sekretów; jeśli to możliwe, odetnij zarządzanie z Internetu.
  2. Wymuś pełną rotację wszystkich sekretów powiązanych z firewallami/SSL VPN: hasła lokalnych adminów, pre-shared keys VPN, klucze/hasła do LDAP/RADIUS/TACACS+, PSK Wi-Fi, SNMP, API (DDNS, SMTP/FTP, automatyzacje).
  3. Zmień hasła w MySonicWall i wszystkich zewnętrznych integracjach; usuń stare kopie w chmurze, wykonaj nowe lokalne (po rotacji). Sprawdź portal MySonicWall → Product Management → Issue List i priorytety urządzeń.
  4. Włącz/Mandatuj MFA dla wszystkich kont administracyjnych i zdalnych; zrewiduj role i zasady najmniejszych uprawnień.
  5. Zwiększ logowanie i retencję: przeanalizuj nietypowe logowania, zmiany konfiguracji, zestawienia tuneli; zachowaj logi do analizy powłamaniowej.
  6. Stopniowo przywracaj usługi po rotacji haseł, monitorując, czy nie powracają nieautoryzowane logowania.
  7. Zastosuj wskazówki CISA/SonicWall z aktualnych poradników dot. incydentu chmurowego i twardnienia konfiguracji.

Różnice / porównania z innymi przypadkami

  • Nie jest to klasyczna luka „do załatania” w firmware (jak CVE-2024-40766 w przeszłości), lecz konsekwencje kompromitacji usługi kopii zapasowej i/lub wtórnego nadużycia poświadczeń — dlatego kluczowe są rotacja sekretów i hardening, a nie patch.
  • Kampania logowań (październik 2025) różni się od wcześniejszych fal, gdzie wykorzystywano podatności SMA/SSL VPN lub 0-daye; tutaj dominują poprawne logowania i „masowe” użycie jednego adresu źródłowego.

Podsumowanie / kluczowe wnioski

  • 8–10 października 2025 r.: SonicWall finalizuje dochodzenie (z Mandiant) i potwierdza pełny zakres incydentu kopii konfiguracyjnych w chmurze; niemal równolegle Huntress sygnalizuje masowe przejęcia kont SSL VPN z użyciem prawidłowych poświadczeń.
  • Brak twardego dowodu na związek, ale ryzyko wtórnych nadużyć jest wysokie.
  • Priorytetem jest szybka rotacja wszystkich sekretów, ograniczenie ekspozycji usług i wzmożony monitoring.

Źródła / bibliografia

  1. SecurityWeek — SonicWall SSL VPN Accounts in Attacker Crosshairs, 13 paź 2025. SecurityWeek
  2. Huntress — Threat Advisory: Widespread SonicWall SSLVPN Compromise, 10 paź 2025. Huntress
  3. SonicWall — MySonicWall Cloud Backup File Incident (aktualizacja 8 paź 2025). SonicWall
  4. CISA — SonicWall releases advisory… (22 wrz 2025). CISA
  5. SecurityWeek — All SonicWall Cloud Backup Users Had Firewall Configurations Stolen, 9 paź 2025. SecurityWeek

Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań

Fundamenty efektywnego promptowania

Prompty AI to nic innego jak instrukcje lub pytania, które zadajemy modelom sztucznej inteligencji (np. ChatGPT), aby uzyskać od nich użyteczną odpowiedź. Odpowiednio sformułowane prompty potrafią znacznie usprawnić pracę specjalistów ds. bezpieczeństwa informacji – od analizy zagrożeń, przez automatyzację żmudnych zadań, po cele edukacyjne. Nic dziwnego, że w ostatnim czasie ChatGPT stał się gorącym tematem w IT – znajduje coraz szersze zastosowanie, także w cybersecurity.

Czytaj dalej „Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań”