Archiwa: Ransomware - Strona 84 z 87 - Security Bez Tabu

Tag: Ransomware

Fałszywe alerty „wycieku” LastPass i Bitwarden kończą się przejęciem komputera. Jak działa kampania i jak się bronić

Wprowadzenie do problemu / definicja luki

Trwa kampania phishingowa podszywająca się pod LastPass i Bitwarden. Ofiary otrzymują e-maile informujące o rzekomym włamaniu i pilnej konieczności zainstalowania „bezpieczniejszej” wersji aplikacji desktopowej. Po kliknięciu linku i uruchomieniu pliku instalowany jest agent narzędzia RMM, a następnie ScreenConnect (zdalny pulpit), co umożliwia atakującemu pełne przejęcie stacji roboczej. To nie jest prawdziwy incydent po stronie LastPass/Bitwarden — to socjotechnika.

W skrócie

  • Temat: podszywanie się pod LastPass/Bitwarden z fałszywymi „alertami o włamaniu”.
  • Wejście: e-mail z domen typu lastpasspulse.blog, lastpasjournal.blog, bitwardenbroadcast.blog z linkiem do „nowej aplikacji desktopowej”.
  • Łańcuch infekcji: instalacja Syncro (RMM) → doinstalowanie ScreenConnect → zdalne przejęcie hosta, możliwość dołożenia malware i kradzieży danych.
  • Stan faktyczny: LastPass potwierdza, że nie doszło do włamania; wskazuje IoC (domeny, IP) i że strony są blokowane jako phishing.
  • Powiązane: tydzień wcześniej podobny schemat uderzał w użytkowników 1Password (phishing na „Watchtower”).

Kontekst / historia / powiązania

Napastnicy coraz częściej celują w menedżery haseł — zaufane marki zwiększają skuteczność socjotechniki, a przejęcie takiego konta daje dostęp do wielu usług. Oprócz obecnej fali na LastPass/Bitwarden, w październiku 2025 opisana została kampania podszywająca się pod 1Password (fałszywe alerty Watchtower, domena phishingowa i przekierowania przez Mandrill). Widzimy więc trend ataków „brand-impersonation” w obrębie tej kategorii narzędzi.

Analiza techniczna / szczegóły kampanii

Wejście (Initial Access):

  • E-maile o temacie w stylu „We Have Been Hacked – Update Your … Desktop App…”, nadawcy m.in. hello@lastpasspulse[.]blog, hello@lastpassgazette[.]blog, hello@lastpasjournal[.]blog oraz wariant dla Bitwarden (hello@bitwardenbroadcast[.]blog). Linki prowadzą do stron typu lastpassdesktop[.]com / lastpassgazette[.]blog.

Środowisko hostingu i blokady:

  • Domeny były osłaniane przez Cloudflare i oznaczane jako phishing; odnotowano wykorzystanie hostingu kojarzonego z „bulletproof” dostawcami.

Wykonanie (Execution) i triks techniczne:

  • Pobierany binarny „installer” nie jest aplikacją menedżera haseł. To agent Syncro (RMM) uruchamiany z parametrami ukrywającymi ikonę w trayu. Po zestawieniu łączności agent dociąga ScreenConnect (BYO installer), który daje atakującemu interaktywny zdalny dostęp. Konfiguracja ograniczona do minimum (check-in co 90 s), bez włączonego natywnego zdalnego dostępu w Syncro i bez dodatkowych integracji typu Splashtop/TeamViewer; skrypty wyłączają lub blokują agentów Emsisoft/Webroot/Bitdefender.

Cel (Impact):

  • Po ustanowieniu sesji RDP-like atakujący może: doinstalować infostealery/ransomware, eksfiltrację danych, przejąć przeglądarki/menedżery haseł (po odblokowaniu sesji użytkownika), pivotować w sieci.

Praktyczne konsekwencje / ryzyko

  • Użytkownicy indywidualni: ryzyko kradzieży całej „skrzynki z kluczami” (vault), danych finansowych i tożsamości; potencjalne szyfrowanie danych.
  • Firmy/MSP: RMM jako „żywe z ziemi” (LOTL) utrudnia detekcję; możliwe obejście części EPP/AV; ekspozycja poświadczeń korporacyjnych i danych klientów.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i helpdesków:

  1. Ignoruj i raportuj: nie instaluj „nowej aplikacji desktopowej” z linków e-mail; zgłaszaj do dostawcy (np. abuse@lastpass.com).
  2. Weryfikuj komunikaty wyłącznie w panelu/kanałach oficjalnych (blog, status, help). Firmy nie proszą o podanie master password w e-mailu.
  3. Sprawdź legalność wiadomości Bitwarden – oficjalne maile nie mają załączników i nie proszą o pobranie pliku.
  4. EDR/AV skan pełny i audyt uruchomionych usług: poszukaj Syncro/ScreenConnect; w razie znajdowania – izoluj host, resetuj hasła (zwłaszcza do menedżera haseł) i weryfikuj MFA.
  5. Ustaw reguły blokujące instalację i komunikację popularnych RMM (allow-list w firmach), segmentacja i zasada najmniejszych uprawnień na stacjach helpdesk.

Dla zespołów bezpieczeństwa/SOC:

  • Blokuj IoC z poniższej listy na bramkach i EDR; huntuj po DNS/HTTP/S, procesach i usługach (np. SyncroMSP, artefakty ScreenConnect).
  • User awareness: krótkie szkolenie o „fałszywych wyciekach” i wzorcach stylu (nagłówki, słownictwo, presja czasu, weekendowe wysyłki).

Wybrane IoC (na podstawie bieżących publikacji):

  • Nadawcy: hello@lastpasspulse[.]blog, hello@lastpassgazette[.]blog, hello@lastpasjournal[.]blog, hello@bitwardenbroadcast[.]blog.
  • Domeny/URL: lastpassdesktop[.]com, lastpassgazette[.]blog, potencjalnie lastpassdesktop[.]app.
  • Infrastruktura (wg LastPass w chwili publikacji): IP 172.67.147[.]36, 172.67.219[.]2, 84.32.84[.]32; nagłówkowe IP 148.222.54[.]15, 23.83.222[.]47. Uwaga: adresy mogą się zmieniać – utrzymuj bloki jako time-boxed.
  • Narzędzia po stronie ofiary: Syncro (RMM)ScreenConnect (zdalny dostęp).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Obecna kampania (LastPass/Bitwarden): główny cel to przejęcie endpointu poprzez RMM i zdalny dostęp (ScreenConnect). Nie chodzi tylko o kradzież danych logowania z fałszywej strony, ale o pełną kontrolę nad hostem.
  • Kampania na 1Password (tydzień wcześniej): klasyczny credential phishing (np. link do fałszywej strony po przekierowaniu), bez instalacji RMM; wektor oparty o „Watchtower breach alert”.

Podsumowanie / kluczowe wnioski

  • Nie doszło do nowego włamania do LastPass ani Bitwarden — to fałszywe alerty.
  • Kliknięcie w link i instalacja „nowej aplikacji” kończy się instalacją RMM i zdalnym przejęciem komputera.
  • Trend: rośnie liczba kampanii podszywających się pod marki menedżerów haseł (LastPass, Bitwarden, 1Password). Weryfikuj komunikaty tylko w oficjalnych kanałach i egzekwuj polityki blokowania RMM.

Źródła / bibliografia

  • BleepingComputer: Fake LastPass, Bitwarden breach alerts lead to PC hijacks (analiza kampanii, łańcuch RMM → ScreenConnect). (BleepingComputer)
  • LastPass (oficjalny blog): October 13 Phishing Campaign Leveraging LastPass Branding — dementi, IoC (domeny, IP), wskazówki. (The LastPass Blog)
  • Malwarebytes: Phishers target 1Password users with convincing fake breach alert — kontekst i podobna kampania tydzień wcześniej. (Malwarebytes)
  • Bitwarden Help Center: Identify Legitimate Emails from Bitwarden — jak rozpoznać prawdziwe maile (brak załączników/plików). (Bitwarden)

Capita zapłaci £14 mln za wyciek danych 6,6 mln osób — co to oznacza dla firm i funduszy emerytalnych

Uwaga na tytuł BleepingComputer: w niektórych doniesieniach pojawia się liczba „66 milionów”. Oficjalne komunikaty i główne media potwierdzają 6,6 mln poszkodowanych.

Wprowadzenie do problemu / definicja luki

Brytyjski regulator ochrony danych ICO nałożył na Capita (Capita plc oraz Capita Pension Solutions) łączną karę £14 mln za „poważne uchybienia” w zabezpieczeniach, które doprowadziły w 2023 r. do kradzieży danych 6,6 mln osób, w tym członków setek programów emerytalnych. Kara została ogłoszona 15 października 2025 r. i rozdzielona na £8 mln (Capita plc) oraz £6 mln (Capita Pension Solutions).

W skrócie

  • Skala naruszenia: dane 6,6 mln osób, w części dane wrażliwe (m.in. informacje finansowe, o wyrokach, „special category data”).
  • Błąd operacyjny: mimo szybkiego wykrycia aktywności, kompromitowane urządzenie odłączono dopiero po 58 godzinach; napastnicy wykradli niemal 1 TB danych i wdrożyli ransomware.
  • Wysokość kary: łącznie £14 mln (po redukcji z wstępnie rozważanych ~£45 mln dzięki współpracy i usprawnieniom po incydencie).
  • Kontekst emerytalny: setki programów emerytalnych raportowały naruszenie do regulatorów; sprawą zajmował się The Pensions Regulator.
  • Doniesienia prasowe: część publikacji podała błędną liczbę „66 mln”; oficjalne dane mówią o 6,6 mln.

Kontekst / historia / powiązania

Atak na Capita miał miejsce w marcu–kwietniu 2023 r. i spowodował szerokie zakłócenia usług outsourcingowych, w tym obsługi funduszy emerytalnych. W 2024 r. The Pensions Regulator opublikował raport z interwencji regulacyjnej, wskazując m.in. lekcje dla powierników i konieczność zwiększenia odporności cyber w łańcuchu dostaw. Media łączyły incydent z działalnością grupy Black Basta.

Analiza techniczna / szczegóły luki

Z ustaleń ICO i relacji prasowych wynika, że:

  • Wykryto nietypową aktywność bardzo szybko, ale izolacja zainfekowanego hosta trwała 58 godzin — czas ten umożliwił ekfiltrację ~1 TB danych i wdrożenie ransomware.
  • Naruszone zbiory obejmowały dane emerytalne i kadrowe przechowywane/obsługiwane przez Capita dla klientów instytucjonalnych; dla części osób dotyczyło to danych szczególnych kategorii i informacji o wyrokach.
  • ICO wskazał na niedostatki kadrowe, testów i łatania oraz zbyt wolną reakcję operacyjną. (Streszczenie na podstawie komunikatu ICO i relacji mediów.)

W tle głośny był także odrębny problem błędnej konfiguracji zasobów w chmurze (publicznie dostępny zasób S3) ujawniony w 2023 r., który dotyczył innych zestawów danych. To nie jest to samo zdarzenie, ale pokazuje szerzej wyzwania bezpieczeństwa u dostawców usług.

Praktyczne konsekwencje / ryzyko

  • Ryzyko dla osób: potencjalne nadużycia finansowe, ukierunkowany phishing, kradzież tożsamości i profilowanie, zwłaszcza gdy wyciek obejmuje dane dot. zdrowia czy wyroków. (Zakres danych: patrz wyżej.)
  • Ryzyko kontraktowe: klienci (np. fundusze, jednostki sektora publicznego) mogą dochodzić roszczeń z tytułu naruszenia umów przetwarzania i SLA.
  • Ryzyko regulacyjne: kary administracyjne (jak w niniejszej sprawie) i nakazy działań naprawczych; konieczność wykazania due diligence przy wyborze podmiotu przetwarzającego.
  • Koszty wtórne: poza karą, koszty obsługi incydentu, notyfikacji, monitoringu kredytowego i modernizacji SOC mogą być wielomilionowe (wcześniej Capita szacowała wpływ finansowy incydentu).

Rekomendacje operacyjne / co zrobić teraz

Dla właścicieli programów emerytalnych, instytucji finansowych i zamawiających usługi:

  1. Przegląd umów z procesorami: doprecyzować RTO/RPO, czasy izolacji hostów, obowiązek EDR/XDR i procedury takedown/containment.
  2. Weryfikacja zdolności reakcji: ćwiczenia purple team i tabletop z dostawcami — time to contain powinien być KPI z raportowaniem do zarządu.
  3. Segmentacja i zasada najmniejszych uprawnień: minimalizacja blast radius, kontrola ekfiltracji (DLP, egress filtering, CASB).
  4. Twarde standardy chmurowe: skanowanie konfiguracji (CSPM), polityki S3/Blob deny-by-default, szyfrowanie KMS, presigned URLs z TTL, blokady publicznego dostępu. (Wnioski także z odrębnych incydentów konfiguracyjnych.)
  5. Plan komunikacji i wsparcie dla osób: gotowe szablony notyfikacji, infolinia, monitoring kredytowy tam, gdzie adekwatne — zgodnie z wytycznymi regulatorów.
  6. Evidence-based patching: priorytetyzacja poparta telemetrią (eksploatowane CVE), SLA na poprawki i testy regresji.
  7. Continuous control monitoring: automaty do wykrywania exfiltracji (anomalia DNS/HTTP), impossible travel, mass file access, unusual volume to cloud storage.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Capita 2023 (ransomware & exfiltracja) vs Capita 2023 (błędna konfiguracja S3) — dwa różne wektory i dwa różne zdarzenia; oba pokazują, że czas reakcji i higiena konfiguracji chmurowej są krytyczne.
  • Analogicznie do głośnych wycieków chmurowych (np. błędne bucket’y S3) – podobny mechanizm skutków (nieuprawniony dostęp do hurtowych danych), ale inna ścieżka ataku (konfiguracja vs. aktywny atak i lateral movement).

Podsumowanie / kluczowe wnioski

  • Sprawa Capita to lekcja o operacyjnej gotowości: wykrycie to za mało, jeśli odcięcie trwa dziesiątki godzin.
  • Łańcuch dostaw danych (fundusze emerytalne, outsourcerzy) wymaga twardych KPI bezpieczeństwa i realnych testów reakcji.
  • Błędy w konfiguracji chmury mogą szkodzić równie mocno jak ransomware — standardy deny-by-default i CSPM to „must-have”.
  • Komunikaty prasowe bywają mylące: trzymaj się źródeł oficjalnych i weryfikuj liczby (6,6 mln, a nie 66 mln).

Źródła / bibliografia

  1. ICO: „Capita fined £14m for data breach affecting over 6m people” (15.10.2025) — szczegóły kary i naruszeń. (Information Commissioner’s Office)
  2. ICO — karta egzekucyjna: „Capita plc and Capita Pension Solutions Ltd” (15.10.2025). (Information Commissioner’s Office)
  3. The Guardian: „Capita fined £14m for data protection failings in 2023 cyber-attack” (15.10.2025). (The Guardian)
  4. BleepingComputer: „Capita to pay £14 million for data breach impacting 6.6 million people” (15.10.2025) — uwaga: nagłówki w niektórych miejscach z błędną liczbą. (BleepingComputer)
  5. The Pensions Regulator: „Capita cyber security incident – Regulatory intervention report” (02.02.2024) — kontekst dla powierników. (The Pensions Regulator)

Krytyczna luka w SAP NetWeaver (CVE-2025-42944): deserializacja przez RMI-P4 pozwala na przejęcie serwera bez logowania

Wprowadzenie do problemu / definicja luki

W SAP NetWeaver AS Java ujawniono krytyczną podatność CVE-2025-42944 (CVSS 10.0), klasy insecure deserialization. Atakujący bez uwierzytelnienia mogą przesłać złośliwy ładunek do modułu RMI-P4 nasłuchującego na otwartym porcie i osiągnąć wykonanie poleceń w systemie operacyjnym serwera SAP. SAP ujęło problem w październikowym Patch Day jako aktualizację noty bezpieczeństwa (pierwsza poprawka wyszła we wrześniu 2025).

W skrócie

  • Identyfikator: CVE-2025-42944
  • Skala: CVSS 10.0 (krytyczna)
  • Komponent: SAP NetWeaver AS Java, interfejs RMI-P4
  • Wymagania ataku: brak uwierzytelnienia, zasięg sieciowy
  • Skutek: zdalne wykonanie kodu / komend OS, pełne przejęcie instancji
  • Status poprawek: poprawki opublikowane, uzupełnione w Patch Day październik 2025; systemy należy zaktualizować niezwłocznie.

Kontekst / historia / powiązania

Październikowy Patch Day SAP przyniósł pakiet łatek, w tym ponowne wzmocnienie zabezpieczeń wobec deserializacji w NetWeaver AS Java (CVE-2025-42944), a także korekty innych komponentów (m.in. SAP Print Service, SAP GUI for HTML, CSRF w AS ABAP). To sugeruje, że producent domyka scenariusze obejściowe względem pierwotnej poprawki z września.

W ostatnich miesiącach ekosystem SAP zmagał się z aktywnie wykorzystywanymi podatnościami, m.in. w Visual Composer (CVE-2025-31324, CVSS 10.0), która umożliwiała nieautoryzowany upload binariów i była łączona w łańcuchy RCE przez grupy APT. To podnosi wagę szybkiego patchowania NetWeavera oraz twardych kontroli na perymetrze.

Analiza techniczna / szczegóły luki

  • Klasa błędu: insecure deserialization w stosie Java.
  • Powierzchnia ataku: RMI-P4 — protokół komunikacyjny używany przez NetWeaver AS Java. Usługa nasłuchuje na interfejsie sieciowym i przetwarza przesyłane obiekty.
  • Warunki powodzenia: atak z sieci (zewnętrznej lub wewnętrznej), brak potrzeby posiadania konta SAP; dostarczenie specjalnie spreparowanego strumienia serializacji do otwartego portu RMI-P4.
  • Efekt: zainicjowanie łańcuchów deserializacji prowadzących do wykonania kodu/komend OS w kontekście procesu serwera aplikacyjnego.
  • Łatka październikowa: rozszerza ochronę wobec scenariuszy, których nie obejmowała łatka wrześniowa (tzw. defense-in-depth i/lub domknięcie wektorów obejścia).

Uwaga: szczegółowe artefakty (np. klasy, gadżety deserializacyjne) nie są publicznie opisane w notach SAP. Organizacje powinny polegać na oficjalnych poprawkach i kontrolach kompensacyjnych, nie na „sygnaturach” konkretnych łańcuchów.

Praktyczne konsekwencje / ryzyko

  • Pełne przejęcie instancji SAP AS Java, możliwość ruchu bocznego do systemów ABAP/S4 i baz danych.
  • Eksfiltracja danych (dane finansowe, HR, łańcuch dostaw), modyfikacje transakcji i integracji B2B.
  • Ransomware / sabotaż: zatrzymanie procesów biznesowych o krytycznym znaczeniu (ERP, SRM, BW/BOBJ).
  • Ryzyko CRQ/SoD: ominięcie mechanizmów autoryzacji dzięki wykonaniu kodu poza kontrolą aplikacyjną.
    Te wnioski wynikają z klasy błędu (RCE bez uwierzytelnienia) i roli NetWeavera w krajobrazie SAP oraz obserwowanej wcześniej aktywności wobec komponentów NetWeaver (np. Visual Composer).

Rekomendacje operacyjne / co zrobić teraz

1) Patchowanie (priorytet najwyższy)

  • Zastosuj październikowe poprawki SAP dla NetWeaver AS Java odnoszące się do CVE-2025-42944 (w tym aktualizację noty z września). Zweryfikuj, że wszystkie węzły/instancje w klastrze zostały zaktualizowane.

2) Ograniczenie ekspozycji RMI-P4

  • Ogranicz dostęp do interfejsu RMI-P4 do zaufanych sieci (ACL, segmentacja, WAF/Reverse Proxy/SAP Web Dispatcher), wyłącz zbędne usługi i protokoły zdalne.

3) Twardnienie i detekcja

  • Włącz wzmożone logowanie w AS Java i centralną korelację (SIEM).
  • Monitoruj nietypowe połączenia do portu usługi RMI-P4 i wzorce deserializacji/uruchamiania powłok.
  • Stosuj reguły EDR/NDR pod kątem: uruchomień interpreterów, living-off-the-land, tunelowania RMI, subsekwentnych połączeń do C2.
  • Przegląd praw i kluczy usługowych używanych przez integracje (minimalizacja szkód przy ewentualnym włamaniu).

4) Testy regresyjne i skany zgodności

  • Po aktualizacji wykonaj testy techniczne i biznesowe (interfejsy, RFC, JMS).
  • Zaktualizuj skanery i polityki zgodności (np. aby wykrywać stare wersje komponentów AS Java).

5) Zarządzanie ryzykiem

  • Dodaj CVE-2025-42944 do wewnętrznego rejestru ryzyka i KPI „patch SLA” dla systemów Internet-facing.
  • Przeprowadź table-top exercise dla scenariusza przejęcia AS Java i ruchu bocznego do krańcowych systemów finansowych.

Różnice / porównania z innymi przypadkami

  • CVE-2025-42944 (NetWeaver AS Java, RMI-P4, deserializacja, bez uwierzytelnienia) — RCE z sieci; krytyczne i pre-auth.
  • CVE-2025-31324 (Visual Composer, upload pliku) — również bardzo ciężkie (CVSS 10.0), często łączone w łańcuchy ataku; potwierdzona aktywna eksploatacja w 2025 r.
  • Inne łatki z Patch Day październik 2025 obejmują m.in. SAP Print Service (Directory Traversal, CVSS 9.8) oraz aktualizacje ABAP/GUI i CSRF — ważne, ale o innych wektorach.

Podsumowanie / kluczowe wnioski

  • CVE-2025-42944 to krytyczna, pre-auth RCE w SAP NetWeaver AS Java przez RMI-P4.
  • SAP wydało poprawki we wrześniu i dodatkowe zabezpieczenia w październiku 2025 — należy wdrożyć natychmiast i ograniczyć ekspozycję usług zdalnych.
  • Historia ostatnich ataków na NetWeaver (np. CVE-2025-31324) pokazuje, że opóźnienia w patchowaniu szybko przekładają się na kompromitacje.

Źródła / bibliografia

  1. The Hacker News — „New SAP NetWeaver Bug Lets Attackers Take Over Servers Without Login” (15 paź 2025). (The Hacker News)
  2. SAP — „Security Patch Day — October 2025” (aktualizacja not bezpieczeństwa, 2 dni temu). (support.sap.com)
  3. SecurityWeek — „SAP Patches Critical Vulnerabilities in NetWeaver, Print Service, SRM” (konkret dot. CVE-2025-42944 i uzupełnień październikowych). (SecurityWeek)
  4. Onapsis — „SAP Security Patch Day — October 2025” (tło do innych krytycznych poprawek i priorytetyzacja). (Onapsis)
  5. Onapsis / CISA — materiały dot. wcześniejszej, aktywnie wykorzystywanej luki CVE-2025-31324 (kontekst zagrożeń dla NetWeaver). (Onapsis)

CISA dodaje 5 nowych luk do katalogu KEV (14 października 2025) — co to oznacza dla Twojej organizacji

Wprowadzenie do problemu / definicja luki

14 października 2025 r. amerykańska CISA dodała pięć nowych, aktywnie wykorzystywanych luk do katalogu Known Exploited Vulnerabilities (KEV). Dodanie do KEV oznacza, że istnieją wiarygodne dowody nadużyć „in the wild”, a dla agencji federalnych wyznaczany jest twardy termin remediacji zgodnie z dyrektywą BOD 22-01. W praktyce to także sygnał „patch now” dla sektora prywatnego.

W skrócie

  • Nowe CVE w KEV (5):
    • CVE-2025-24990 — Windows (sterownik Agere Modem, „untrusted pointer dereference”).
    • CVE-2025-47827IGEL OS 10 (obejście Secure Boot przez użycie klucza po dacie ważności).
    • CVE-2025-59230 — Windows Remote Access Connection Manager (podniesienie uprawnień).
    • CVE-2016-7836SKYSEA Client View (zdalne wykonanie kodu, CVSS 9.8).
    • CVE-2025-6264Rapid7 Velociraptor (błędne domyślne uprawnienia → wykonanie poleceń).
  • Dlaczego teraz? Fala wpisów koreluje z październikowym Patch Tuesday (Microsoft) i świeżymi obserwacjami nadużyć (m.in. Velociraptor w incydentach ransomware).
  • Termin (FCEB): dla nowych pozycji z 14.10.2025 CISA wyznacza deadline 4 listopada 2025. To dobra praktyka także dla firm prywatnych.

Kontekst / historia / powiązania

Katalog KEV to „lista wstydu” produktów z lukami, które naprawdę są wykorzystywane. Wpis do KEV wymusza na podmiotach federalnych priorytetową remediację (zwykle w 21 dni), a w wyjątkowych sytuacjach — szybciej. W 2025 r. KEV był wielokrotnie uzupełniany falami po Patch Tuesday oraz po publicznych raportach o nadużyciach (np. ransomware wykorzystujący Velociraptor).

Analiza techniczna / szczegóły luki

1) CVE-2025-24990 — Microsoft Windows (sterownik Agere Modem)

  • Typ/efekt: dereferencja niezaufanego wskaźnika w sterowniku, potencjalne EoP/RCE w zależności od kontekstu wywołania.
  • Kontekst: sterownik jest dostarczany z wieloma wersjami Windows; Microsoft oznaczył problem jako eksploatowany.
  • Działania: usuń/wyłącz sterownik tam, gdzie niepotrzebny; zastosuj poprawki Microsoftu.

2) CVE-2025-47827 — IGEL OS 10 (Secure Boot bypass)

  • Typ/efekt: bypass Secure Boot — użycie klucza po dacie ważności w module igel-flash-driver umożliwia podmianę obrazu rootfs (SquashFS) i uruchomienie niepodpisanego systemu.
  • Wpływ: fizyczny napastnik może osiągnąć trwałą, wczesną persystencję (bootkit).
  • Termin KEV: dodane 14.10 → due 04.11.2025 (wpis CISA odnotowany w NVD).
  • Działania: aktualizacja do IGEL OS v11+; wymuszenie poprawnego łańcucha zaufania i weryfikacji podpisów.

3) CVE-2025-59230 — Windows RASMAN (Elevation of Privilege)

  • Typ/efekt: Improper Access Control → lokalne EoP do SYSTEM.
  • Wektor: lokalny, niski poziom złożoności (AC:L).
  • Działania: wdrożyć poprawki z październikowego Patch Tuesday; uzupełnić detekcje na nietypowe użycia usług RAS.

4) CVE-2016-7836 — SKYSEA Client View (RCE)

  • Typ/efekt: Improper Authentication w połączeniu TCP z konsolą zarządzającą → RCE bez uwierzytelnienia; CVSS 3.x: 9.8 (CRITICAL).
  • Status KEV: dodane 14.10.2025 z terminem 04.11.2025.
  • Działania: aktualizacja powyżej wersji 11.221.03; segmentacja sieci, ograniczenie dostępu do portów zarządzania.

5) CVE-2025-6264 — Rapid7 Velociraptor (default permissions)

  • Typ/efekt: artefakt Admin.Client.UpdateClientConfig nie wymagał dodatkowego uprawnienia; użytkownik z rolą Investigator mógł zdalnie zaktualizować konfigurację klienta i wykonać polecenia → przejęcie endpointu.
  • Kontekst nadużyć: wykorzystywane w realnych atakach (m.in. kampanie ransomware); wpis do KEV z terminem 04.11.2025.
  • Działania: aktualizacja do wersji z łatką; przegląd ról/uprawnień i artefaktów; telemetria na „nietypowe” aktualizacje konfiguracji klienta.

Praktyczne konsekwencje / ryzyko

  • Łańcuchy ataków mieszanych: lokalne EoP w Windows (CVE-2025-59230, CVE-2025-24990) świetnie łączą się z ucieczkami z przeglądarek/aplikacji jako etap 2 eskalacji.
  • Uderzenie w kontrolę rozruchu: obejście Secure Boot (IGEL) umożliwia „pre-EDR” trwałość — klasyczne narzędzie APT i operatorów ransomware.
  • Nadużywanie narzędzi „dobrych”: Velociraptor w rękach napastnika zmniejsza szanse detekcji (Living-off-the-Land Tooling).
  • Dziedzictwo w środowisku: stary SKYSEA (2016) pokazuje, że legacy potrafi wrócić jako „nowo” eksploatowane, jeśli pozostało w ekosystemie.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytet łatania do 4 listopada 2025 (lub szybciej w środowiskach wysokiego ryzyka):
    • Windows: wdrożyć pełny zestaw poprawek z Patch Tuesday (X.2025); osobno usunąć/wyłączyć sterownik Agere tam, gdzie niepotrzebny.
    • IGEL OS: aktualizacja do v11+, weryfikacja implementacji Secure Boot, odświeżenie kluczy.
    • Velociraptor: aktualizacja do wersji z łatką; przegląd ról (odebranie zbędnego COLLECT_CLIENT), ograniczenie artefaktów administracyjnych; monitorowanie nietypowych update’ów konfiguracji.
    • SKYSEA: aktualizacja powyżej 11.221.03; izolacja hostów zarządzania; wymuszenie TLS i list ACL na portach zarządzania.
  2. Detekcja i hunting (propozycje szybkich use-case’ów):
    • Windows EoP: nietypowe uruchomienia/usługi RAS, anomalie w sterownikach, ładowanie ltmdm64.sys (Agere).
    • IGEL: integralność łańcucha rozruchu, zmiany w partycji rozruchowej, niestandardowe obrazy SquashFS.
    • Velociraptor: zdarzenia „UpdateClientConfig”, modyfikacje polityk klienta, uruchomienia powłoki/VS Code z procesu agenta.
  3. Higiena uprawnień i ekspozycji: minimalizacja ról „Investigator” w Velociraptorze; ograniczenie dostępu do konsol (SKYSEA) sieciowo i VPN; app allow-listing dla narzędzi z uprawnieniami systemowymi.
  4. Zarządzanie ryzykiem dostawców/OT: jeśli używasz IGEL lub SKYSEA w środowiskach kiosków/terminali/OT, zaplanuj okno serwisowe i rollback plan — obejście Secure Boot w terminalach może zniweczyć kontrolę zaufania na brzegu.

Różnice / porównania z innymi przypadkami

  • Stara luka, nowe nadużycia: CVE-2016-7836 (SKYSEA) przypomina inne „archeologiczne” wpisy KEV — podatności latami „znane”, ale wciąż wykorzystywane tam, gdzie oprogramowanie przetrwało w niszach.
  • LOLBIN vs. LOTool: w 2024–2025 dużo mówiliśmy o LOLBIN-ach; przypadek Velociraptora to LOTool — legalne narzędzie admina użyte jako wektor ataku (podobnie jak nadużycia RMM/EDR).

Podsumowanie / kluczowe wnioski

  • KEV = kolejka „MUST-DO”: pięć nowych pozycji to czytelny backlog na najbliższe dni.
  • Zwróć uwagę na łańcuch startowy i narzędzia admina (IGEL, Velociraptor) — to wektory o wysokiej wartości dla napastników.
  • Nie zapominaj o legacy: nawet „odległe” CVE (SKYSEA 2016) wracają, jeśli produkt nadal żyje w środowisku.
  • Termin dla FCEB: 4 listopada 2025 — rozsądny SLA także dla sektora prywatnego.

Źródła / bibliografia

  1. CISA — Strona główna (zapowiedź alertu z 14.10.2025). (CISA)
  2. NVD (NIST)CVE-2016-7836 (SKYSEA) — opis, CVSS 9.8, wpis do KEV z terminem 04.11.2025. (NVD)
  3. NVD (NIST)CVE-2025-59230 (Windows RASMAN) — opis EoP. (NVD)
  4. NVD (NIST)CVE-2025-6264 (Rapid7 Velociraptor) — opis błędnych uprawnień. (NVD)
  5. NVD/CVE.org / analizy Patch TuesdayCVE-2025-24990 (Agere driver) — rekord CVE; dodatkowy kontekst eksploatacji i rekomendacji z przeglądu Patch Tuesday (Tenable). (CVE)

SAP łata krytyczne luki w NetWeaver AS Java, Print Service (SAPSprint) i SRM — październikowy Patch Day 2025

Wprowadzenie do problemu / definicja luk

SAP opublikował październikowy zestaw poprawek bezpieczeństwa, obejmujący łącznie kilkanaście nowych i zaktualizowanych not Security Notes. Wśród nich znajdują się trzy krytyczne luki: maksymalnie poważna podatność w NetWeaver AS Java (RMI/P4 — insecure deserialization), krytyczne obejście ścieżek (directory traversal) w SAP Print Service / SAPSprint, oraz poważna podatność w SAP SRM umożliwiająca nieautoryzowany upload plików.

W skrócie

  • NetWeaver AS Java (RMI/P4): luka klasy insecure deserialization, CVSS 10.0 — umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Wymaga natychmiastowej aktualizacji.
  • SAP Print Service / SAPSprint: directory traversal (CVSS 9.8) — atakujący bez uwierzytelnienia może nadpisywać pliki systemowe na serwerze wydruku; SAP Note 3630595. W niektórych źródłach powiązana z CVE-2025-42937.
  • SAP SRM: podatność arbitrary file upload; brak obejścia — konieczna instalacja poprawki (np. SAP Note 3647332).

Kontekst / historia / powiązania

W ostatnich miesiącach ekosystem SAP obserwował falę krytycznych poprawek (m.in. we wrześniu) oraz realne kampanie wykorzystujące luki w NetWeaver (np. CVE-2025-31324 wykorzystywane w atakach do instalacji backdoorów). Dzisiejszy Patch Day wpisuje się w trend priorytetowego łatania komponentów dostępnych z sieci i mechanizmów uploadu/serializacji.

Analiza techniczna / szczegóły luki

1) NetWeaver AS Java — RMI/P4 insecure deserialization (CVSS 10.0)

  • Wektor: sieciowy, brak uwierzytelnienia; podatny kanał RMI/P4 (AS Java).
  • Skutek: zdalne wykonanie poleceń na systemie operacyjnym (RCE).
  • Ryzyko: natychmiastowa eskalacja do pełnego przejęcia hosta aplikacyjnego.
  • Mitigacje czasowe: ograniczenie / filtrowanie dostępu do RMI/P4 wyłącznie z zaufanych podsieci; segmentacja; WAF/IPS z sygnaturami pod deserialization.
    Fakty i parametry potwierdza bieżące omówienie Patch Day.

2) SAP Print Service / SAPSprint — directory traversal (CVSS 9.8) — SAP Note 3630595

  • Komponent: SAP Print Service (SAPSprint) — serwer zdalnego drukowania (często na Windows).
  • Wektor: brak uwierzytelnienia; manipulacja ścieżką (path traversal) pozwala na „climbing” katalogów i nadpisanie plików systemowych.
  • Skutek: naruszenie C/I/A — od wycieku po trwałe uszkodzenie systemu, możliwość eskalacji i utrwalania dostępu.
  • CVE: źródła branżowe mapują tę lukę do CVE-2025-42937 (nomenklatura może się różnić między vendorami).
  • FAQ/uwagi: SAP opublikował dodatkowy FAQ Note do tej poprawki.

3) SAP SRM — arbitrary file upload (np. SAP Note 3647332)

  • Wektor: przesył plików w wybranych komponentach SRM; brak wystarczających walidacji.
  • Skutek: możliwość umieszczenia i wykonania złośliwych artefaktów w kontekście aplikacji, prowadząca do przejęcia systemu lub pivotu.
  • Workaround: brak skutecznych obejść — wymagane natychmiastowe wdrożenie noty.

Praktyczne konsekwencje / ryzyko

  • RCE i trwałe przejęcie serwerów aplikacyjnych (AS Java) oraz nadpisanie krytycznych plików (SAPSprint) mogą skutkować paraliżem usług biznesowych, utratą danych i szantażem ransomware.
  • Łańcuchowanie: upload w SRM ⇒ implant web-shell ⇒ ruch boczny do AS Java ⇒ wykorzystanie RMI/P4 ⇒ dominacja domeny / chmury.
  • Ekspozycja z Internetu: serwisy drukowania i RMI/P4 ujawnione do sieci publicznej znacząco zwiększają prawdopodobieństwo skanu i szybkiej eksploatacji po publikacji poprawek.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytetyzuj patching:
    • NetWeaver AS Java (RMI/P4 deserialization — CVSS 10.0) — natychmiast.
    • SAP Print Service / SAPSprint — SAP Note 3630595 — w ciągu 24 godzin.
    • SAP SRM — SAP Note 3647332 — pilnie, brak obejść.
  2. Doraźne redukcje ryzyka (gdy patch w toku):
    • Ogranicz dostęp do RMI/P4 i SAPSprint do zaufanych adresów/VPN; zablokuj z Internetu.
    • Włącz reguły IPS/WAF na deserialization, path traversal i file-upload; monitoruj anomalie I/O dysku.
    • Ustaw aplikacyjne allow-listy dla formatów i lokalizacji uploadu (SRM).
  3. Detekcja i IR:
    • Przejrzyj logi dla RMI/P4, ścieżek drukowania i katalogów uploadu; szukaj nietypowych ścieżek z sekwencjami traversal (np. niestandardowe .../...//).
    • Wykonaj integrity check krytycznych plików na serwerach wydruku (Windows), porównując z kopią wzorcową.
    • Jeśli ekspozycja była publiczna, załóż naruszenie i wykonaj threat hunting (web-shells, niepodpisane binaria, schedule tasks).
  4. Zarządzanie podatnościami:
    • Zweryfikuj wszystkie SAP Security Notes z dzisiejszego Patch Day i plan aktualizacji (produkcyjne / non-prod).
    • Upewnij się, że Support Packages i kernel są zgodne z wymaganiami not.

Różnice / porównania z innymi przypadkami

  • RMI/P4 deserialization (AS Java) różni się od niedawnej luki CVE-2025-31324 (Visual Composer uploader) — obie skutkują RCE, ale pierwsza atakuje kanał zdalnego wywołania (serializacja), druga nadużywa mechanizmu uploadu. To inne wektory, mogą jednak być łańcuchowane.
  • SAPSprint traversal to atak na komponent drukowania (często Windows) — jego implikacje (nadpisanie plików) są bardziej „systemowe” niż typowe błędy w warstwie SAP ABAP/Java.

Podsumowanie / kluczowe wnioski

  • Październikowy Patch Day SAP przynosi krytyczne poprawki, z których NetWeaver AS Java (CVSS 10.0) oraz SAPSprint (CVSS 9.8) wymagają natychmiastowych działań, a SRM nie ma obejść poza instalacją poprawek.
  • Organizacje powinny patchować w pierwszej kolejności komponenty sieciowo dostępne, ograniczyć ekspozycję i wdrożyć monitoring anomalii plikowych na serwerach drukowania.

Źródła / bibliografia

  • SecurityWeek: „SAP Patches Critical Vulnerabilities in NetWeaver, Print Service, SRM” (14.10.2025). (SecurityWeek)
  • SAP Support Portal: „Security Patch Day — October 2025” (14.10.2025). (SAP Support Portal)
  • Onapsis Research Labs: „SAP Security Patch Day — October 2025” (analiza, Note 3630595, SAPSprint). (Onapsis)
  • SecurityBridge: „SAP Security Patch Day — October 2025” (Note 3630595 i 3647332 — SRM). (SecurityBridge)
  • RedRays: „October 2025 — Critical Updates” (CVE-2025-42937 / CVSS 9.8 dla Print Service). (RedRays – Your SAP Security Solution)

Windows 10: koniec wsparcia od 14 października 2025 r. — co to oznacza dla bezpieczeństwa i zgodności?

Wprowadzenie do problemu / definicja luki

Microsoft zakończył dziś, 14 października 2025 r., standardowe wsparcie dla Windows 10 (wszystkich edycji 22H2). Od teraz system nie otrzymuje już bezpłatnych aktualizacji zabezpieczeń ani poprawek. Urządzenia będą działać, ale z miesiąca na miesiąc będą coraz bardziej narażone na ataki wykorzystujące nowe luki.

W skrócie

  • Data EoS: 14.10.2025 (koniec aktualizacji i pomocy technicznej).
  • Ostatnia wersja: 22H2 — ostatni release Windows 10.
  • Wyjątki: linie LTSC mają osobne cykle wsparcia.
  • ESU (konsumenci): 1 rok rozszerzonych łat bezpieczeństwa do 13.10.2026 r.; rejestracja: 0 zł (gdy synchronizujesz ustawienia z kontem Microsoft), 1000 punktów Rewards albo 30 USD jednorazowo. Limit do 10 urządzeń na licencję.
  • Microsoft 365 Apps: oficjalne wsparcie na Windows 10 wygasa dziś, ale aktualizacje zabezpieczeń dla M365 będą dostarczane jeszcze do 10.10.2028 r., by ułatwić migrację.

Kontekst / historia / powiązania

Windows 10 zadebiutował w 2015 r. i przez lata był „systemem jako usługą” z półrocznymi aktualizacjami. Microsoft ogłosił, że 22H2 to finalna wersja, a „dni łatkowania” kończą się w październiku 2025 r. Media branżowe od wielu miesięcy ostrzegały użytkowników i firmy przed pozostawaniem na niewspieranej platformie.

Analiza techniczna / szczegóły

Cykl życia i edycje

  • Home/Pro/Enterprise/Education (22H2): koniec wsparcia 14.10.2025.
  • LTSC (np. Enterprise LTSC): nadal wspierane wg własnych harmonogramów.
  • Brak nowych funkcji/driverów/poprawek po tej dacie.

ESU dla użytkowników domowych i SOHO (Consumer ESU)

Microsoft po raz pierwszy udostępnia program ESU dla konsumentów. Kluczowe parametry:

  • Zakres: tylko aktualizacje bezpieczeństwa „Critical/Important” (MSRC). Brak wsparcia technicznego, brak poprawek funkcjonalnych.
  • Dostępność: rejestracja przez Ustawienia → Aktualizacja i zabezpieczenia → Windows Update → Enroll now.
  • Warunki: Windows 10 22H2, konto Microsoft z uprawnieniami administratora.
  • Wyłączenia: urządzenia domenowe/Entra-joined, kiosk, MDM — to już scenariusze komercyjne (dla nich osobny, płatny ESU).
  • Cena/ opcje rejestracji: 0 zł (gdy włączona synchronizacja ustawień), 1000 Rewards, lub 30 USD (równowartość w lokalnej walucie); ważne do 13.10.2026 r.; licencję można użyć na maks. 10 urządzeń.

Microsoft 365 na Windows 10

Aplikacje Microsoft 365 formalnie kończą wsparcie na Windows 10 wraz z EoS, ale — w celu utrzymania bezpieczeństwa — Microsoft będzie dostarczał ich aktualizacje zabezpieczeń do 10.10.2028 r. To nie przywraca wsparcia systemu operacyjnego.

Praktyczne konsekwencje / ryzyko

  • Rosnąca powierzchnia ataku: nowe exploity nie będą łatane w OS bez ESU; z czasem wzrośnie liczba day-0/day-n wymierzonych w Windows 10.
  • Ryzyko zgodności/compliance: w sektorach regulowanych (np. RODO, ISO 27001) używanie niewspieranego OS może naruszać polityki bezpieczeństwa.
  • Łańcuch dostaw i urządzenia brzegowe: endpointy z Win10 bez ESU staną się najsłabszym ogniwem w sieci.
  • Użytkownicy indywidualni: wzrost prawdopodobieństwa infekcji malware/ransomware poprzez przeglądarkę, klienckie aplikacje i sterowniki. Media i Microsoft ostrzegają, że system pozostawiony bez łatek będzie z czasem coraz łatwiejszym celem.

Rekomendacje operacyjne / co zrobić teraz

  1. Sprawdź możliwość aktualizacji do Windows 11 (TPM 2.0, Secure Boot, nowsze CPU). Jeśli sprzęt spełnia wymagania — migruj niezwłocznie.
  2. Jeśli musisz zostać na Windows 10:
    • Zapisz urządzenie do ESU (konsumenckiego) od razu, aby nie pozostawiać luki w oknie bezłatkowym. Włącz synchronizację ustawień z kontem Microsoft, aby skorzystać z opcji bez opłaty, lub użyj 1000 punktów Rewards / 30 USD.
    • Wymuś twardą politykę zabezpieczeń: EDR/antywirus klasy enterprise, kontrola aplikacji, ograniczenie makr, segmentacja sieci, pełne szyfrowanie dysków.
    • Ogranicz ekspozycję: pracuj na koncie standardowym, aktualizuj przeglądarkę i aplikacje firm trzecich, wyłącz zbędne usługi/porty.
  3. Dla organizacji: rozważ komercyjny ESU (płatny, do 3 lat) i plan migracji do Windows 11/Windows 365. Zgodność i audyty powinny wymagać dat wyłączeń dla hostów Win10.
  4. Alternatywy dla sprzętu niespełniającego wymagań: Linux desktop lub modernizacja sprzętu; traktuj to jako most, nie docelowy stan bezpieczeństwa. (Rekomendacja ogólna; wybór zależny od profilu ryzyka i aplikacji.)

Różnice / porównania z innymi przypadkami

  • LTSC vs. standardowe edycje: LTSC zachowuje wsparcie według własnych terminów (dłuższe okna serwisowe), ale dotyczy specyficznych środowisk (urządzenia specjalistyczne).
  • ESU konsumenckie vs. komercyjne: Consumer ESU — 1 rok, prosty onboarding przez Windows Update; Commercial ESU — do 3 lat, zarządzanie kluczami/MDM, dla urządzeń domenowych/zarządzanych.
  • Windows 11: ciągłe łaty, funkcje zabezpieczeń (TPM 2.0, HVCI, Smart App Control, ulepszenia kernel/driver), aktywnie rozwijany ekosystem. (Kontekst migracyjny.)

Podsumowanie / kluczowe wnioski

  • Windows 10 bez ESU = niewspierany i podatny od 14.10.2025 r.
  • Masz trzy ścieżki: (1) migracja do Windows 11, (2) ESU na 1 rok (konsumenci) / do 3 lat (firmy), (3) wymiana/modernizacja sprzętu lub zmiana OS.
  • Jeśli pozostajesz na Win10 choćby tymczasowo — zapisz się do ESU natychmiast i podnieś poziom zabezpieczeń endpointów.

Źródła / bibliografia

  • Microsoft Support — „Windows 10 support ends on October 14, 2025” (daty EoS, M365 Apps). (Microsoft Support)
  • Microsoft Learn — cykl życia Windows 10 (22H2 ostatnią wersją; wyjątki LTSC). (Microsoft Learn)
  • Microsoft — „Windows 10 Consumer Extended Security Updates (ESU)” (warunki, cena, rejestracja, zakres). (Microsoft)
  • BleepingComputer — przypomnienie o EoS i zagrożeniach pozostania na Win10. (BleepingComputer)
  • The Verge — tło migracyjne i bariery sprzętowe Windows 11. (The Verge)

Grupa wymuszeniowa publikuje miliony rekordów z ataków na klientów Salesforce. Co naprawdę się stało i jak się bronić

Wprowadzenie do problemu / definicja luki

Ekstorcjonistyczna grupa Scattered LAPSUS$ Hunters opublikowała w sieci zestawy danych skradzionych z instancji Salesforce należących do wielu firm. Wyciek nastąpił po nieudanym wymuszeniu okupu – Salesforce publicznie zadeklarował, że nie zapłaci i nie będzie negocjować. Co istotne, sam rdzeń platformy Salesforce nie został naruszony; ataki uderzyły w klientów i ich integracje/aplikacje oraz ludzi (socjotechnika). Na liście ofiar wymieniono m.in. Albertsons, Engie Resources, Fujifilm, GAP, Qantas i Vietnam Airlines. Qantas informował wcześniej o potencjalnie ~5–6 mln dotkniętych klientów, a w przypadku Vietnam Airlines usługę Have I Been Pwned odnotowała ~7,3 mln kont.

W skrócie

  • Kto? Kolektyw Scattered LAPSUS$ Hunters (powiązania z Lapsus$, Scattered Spider, ShinyHunters).
  • Co? Wyciek części danych i groźby ujawnienia kolejnych – łącznie przestępcy chwalili się setkami milionów do ~1 mld rekordów z dziesiątek firm korzystających z Salesforce.
  • Jak? Dwie równoległe ścieżki:
    1. Vishing/Help Desk → skłonienie pracowników do instalacji spreparowanego Salesforce Data Loader / uzyskania dostępu do kont.
    2. Przejęte tokeny OAuth aplikacji Salesloft Drift → masowy eksport danych z obiektów Salesforce.
  • Stanowisko Salesforce: brak dowodów na kompromitację platformy; firma nie zapłaci okupu.
  • Działania organów ścigania: zaburzenie infrastruktury wymuszeniowej grupy przez FBI; mimo to część danych wyciekła.

Kontekst / historia / powiązania

Początek października przyniósł uruchomienie przez grupę własnego serwisu wyciekowego i eskalację gróźb wobec ~39 wskazanych firm-klientów Salesforce. Jednocześnie pojawiły się potwierdzone publikacje danych (m.in. Qantas, Vietnam Airlines). Wcześniejsze ostrzeżenia pochodziły od Google Threat Intelligence/Mandiant oraz FBI, które niezależnie opisały dwie aktywne komórki (UNC6040 i UNC6395) polujące na instancje Salesforce różnymi metodami.

Analiza techniczna / szczegóły luki

Ścieżka A – socjotechnika i Data Loader (UNC6040):

  • Atakujący używali vishingu (podszywanie się pod IT Service Desk), aby nakłonić pracowników do instalacji zmodyfikowanego Salesforce Data Loader lub udostępnienia danych logowania/MFA.
  • Po uzyskaniu dostępu następował eksport masowy rekordów (PII, dane programów lojalnościowych, profile użytkowników).

Ścieżka B – tokeny OAuth i integracje (UNC6395):

  • Kompromitacja tokenów OAuth aplikacji Salesloft Drift; w odpowiedzi 20 sierpnia unieważniono tokeny Drift i wyłączono aplikację w AppExchange.
  • Napastnicy wykonywali SOQL z kont zaufanych aplikacji, zliczając i pobierając obiekty Account, Opportunity, User, Case, oraz wyszukiwali w danych sekrety (np. AKIA, hasła, tokeny Snowflake).
  • GTIG/Mandiant opublikowali IOC (m.in. UA „Salesforce-Multi-Org-Fetcher/1.0”, zakres IP – również węzły Tor) i szczegółowe zapytania SOQL pomocne w detekcji.

Dlaczego ofiary są podatne?

  • Nadmierne uprawnienia Connected Apps („full access”), zbyt liberalne IP Relaxation, brak restrykcji API na profilach, niewłaściwy lifecycle tokenów i zbyt długie sesje.

Praktyczne konsekwencje / ryzyko

  • Ryzyko nadużyć PII: phishing ukierunkowany, oszustwa podróżnicze/lojalnościowe (linie lotnicze), przejęcia kont.
  • Ryzyko wtórne (pivot): wyciek tajnych kluczy/API znalezionych w rekordach Salesforce → dalsze włamania do AWS/Snowflake i systemów SaaS.
  • Chaos informacyjny: część deklaracji grupy jest przesadzona lub niespójna (np. „nie możemy więcej wyciekać”), co utrudnia ocenę pełnej skali, ale potwierdzone wycieki już mogą skutkować incydentami fraudowymi.

Rekomendacje operacyjne / co zrobić teraz

1) Reagowanie i łagodzenie skutków (Salesforce/SecOps)

  • Przegląd logów: Event Monitoring (zwł. Connected App OAuth Usage, Login, API, UniqueQuery), anomalia w UA i adresach z IOC (Tor/Cloud).
  • Rotacja sekretów: natychmiast unieważnij i odtwórz tokeny OAuth, API keys, hasła powiązane z integracjami; usuń nadmiarowe refresh tokens.
  • Ogranicz Connected Apps: minimalne scopes, IP restrictions, wyłącz „API Enabled” poza uprzywilejowanymi Permission Sets; ustaw krótsze sesje i wymuś MFA.
  • Wyszukiwanie sekretów w danych: przeszukaj obiekty (Case, Attachment, Task, Chatter) pod kątem AKIA, password, Snowflake, URL-i logowania; zastosuj narzędzia typu TruffleHog.

2) Twardnienie procesów i ludzi

  • Help Desk Playbook: blokada realizacji żądań przez telefon/voice bez out-of-band potwierdzenia i weryfikacji tożsamości; zakaz dyktowania kodów MFA/SSO.
  • Dystrybucja oprogramowania: instalatory Salesforce Data Loader wyłącznie z oficjalnych źródeł, podpisy cyfrowe, listy dozwolonych hashy, EDR.

3) Komunikacja z klientami i monitoring nadużyć

  • Powiadomienie osób, których dotyczy sprawa; brand-monitoring pod kątem phish-kampanii podszywających się pod firmę/lojalności.
  • Dodatkowe kontrole ryzyka transakcji i weryfikacje zmian danych (adresy, telefony) w systemach lojalnościowych.

4) Współpraca z dostawcami i organami

  • Wykonaj zalecenia Salesforce/Salesloft; zgłoś ślady kompromitacji do FBI/CERT (flash TLP:CLEAR nt. UNC6040/UNC6395).

Różnice / porównania z innymi przypadkami

  • Nie jest to „klasyczny” ransomware: brak szyfrowania, czysta ekstorsja danych + presja medialna.
  • Atak na ekosystem SaaS: kruche punkty to integracje i tożsamość, a nie zero-day w samym Salesforce – odmiennie np. od incydentów z lukami w platformach on-prem.

Podsumowanie / kluczowe wnioski

  • Wyciek ujawnia strukturalną słabość: zaufane aplikacje i tokeny OAuth są „złotym kluczem” do danych CRM.
  • Wzmocnienie Connected Apps, monitoring SOQL, rotacja sekretów i dyscyplina operacyjna są dziś ważniejsze niż kiedykolwiek.
  • Organy ścigania potrafią zakłócić infrastrukturę wymuszeniową, ale skutki wycieku (phishing, oszustwa, przejęcia kont) pozostają i wymagają długofalowej obrony.

Źródła / bibliografia

  1. SecurityWeek – przegląd publikacji danych (Albertsons, Engie, Fujifilm, GAP, Qantas, Vietnam Airlines) i kontekst 39 ofiar. (SecurityWeek)
  2. Reuters – potwierdzenia dot. skali („~1 mld rekordów”), technik vishing oraz stanowiska Salesforce. (Reuters)
  3. Google Cloud Threat Intelligence/Mandiant – techniczne szczegóły kampanii UNC6395 (Drift OAuth), SOQL, IOC, zalecenia. (Google Cloud)
  4. Cybersecurity Dive – deklaracja Salesforce o odmowie płatności, rozdzielenie dwóch kampanii (Data Loader vs. Drift). (cybersecuritydive.com)
  5. BankInfoSecurity/GovInfoSecurity – przebieg publikacji po zakłóceniu przez FBI, liczby dla Qantas/Vietnam Airlines. (BankInfoSecurity)