Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
OWASP Top 10 to globalny standard opisujący 10 najpoważniejszych ryzyk bezpieczeństwa aplikacji webowych. Najnowsza edycja – OWASP Top 10 2025 – została właśnie opublikowana (po raz ósmy, poprzednio w 2021 roku) i przynosi ważne zmiany. Dla studentów i początkujących specjalistów cyberbezpieczeństwa znajomość tej listy jest kluczowa.
Czytaj dalej „OWASP Top 10 2025 – Kluczowe Zagrożenia I Porady Bezpieczeństwa”
W urządzeniach WatchGuard Firebox (system Fireware OS) wykryto lukę CVE-2025-9242 o krytycznym poziomie ryzyka (CVSS 9.3), która umożliwia zdalne wykonanie kodu bez uwierzytelnienia poprzez błąd out-of-bounds write w procesie iked (obsługa IKEv2/IPsec dla Mobile User VPN i Branch Office VPN). CISA dodała już podatność do katalogu Known Exploited Vulnerabilities (KEV) na podstawie dowodów aktywnego wykorzystywania w atakach.
iked (IKEv2), prowadzący do RCE bez uwierzytelniania.WatchGuard opublikował poradnik PSIRT 17 września 2025 r., a 21 października 2025 r. zaktualizował go o wskaźniki ataku (IoA) i zalecenie rotacji lokalnie przechowywanych sekretów (np. hasła, pre-shared keys) „z ostrożności”, po sygnałach o realnych próbach eksploatacji. 13 listopada 2025 r. dołączenie do CISA KEV potwierdziło etap aktywnego nadużycia.
Równolegle watchTowr opublikował techniczną analizę i reprodukcję błędu, ułatwiającą zrozumienie prymitywu pamięci, który stoi za RCE.
Wejście: komunikaty IKE_AUTH w trakcie zestawiania IKEv2. Błąd out-of-bounds write w implementacji iked można wywołać manipulując polami ładunku IDi (identyfikator inicjatora) – udokumentowanym wskaźnikiem podejścia jest nienaturalnie duży rozmiar IDi (>100 bajtów) w logach diagnostycznych. Udana eksploatacja może spowodować zawieszenie lub crash procesu iked, a w wektorze RCE – wykonanie kodu w kontekście urządzenia.
Warunek konfiguracji: Podatność dotyczy Mobile User VPN (IKEv2) i BOVPN (IKEv2) z dynamicznym peerem. Co istotne, nawet po usunięciu takich konfiguracji urządzenie może pozostać podatne, jeśli nadal istnieje BOVPN do statycznego peera.
Zakres wersji i poprawki: jw. (sekcja „W skrócie”). Gałąź 11.x jest EoL – brak poprawek producenta.
Dowody wykorzystania: wpis w CISA KEV oraz doniesienia branżowe; SecurityWeek wskazuje na decyzję CISA nakazującą pilną aktualizację w instytucjach federalnych (BOD 22-01).
iked przerywa tunele BOVPN i dostęp zdalny. 0) Priorytet i okno serwisowe
Traktuj jako P1. Zaplanuj szybkie prace: upgrade + rotacja sekretów.
1) Szybka inwentaryzacja i wykrywanie
iked pod kątem IoA od WatchGuard: „IKE_AUTH request … IDi(sz=…>100)”, zawieszenia lub crashe iked. (Włącz poziom Info dla diagnostyki iked, jeśli to konieczne). Przykładowe zapytania (do szybkiego łapania IoA w SIEM):
index=network_logs sourcetype=watchguard:iked "IKE_AUTH request" IDi(sz=* | rex "IDi\\(sz=(?<idi>\d+)\\)" | where tonumber(idi) > 100message : "*IKE_AUTH request*" and message : "*IDi(sz=*"tcpdump -ni any udp port 500 or udp port 45002) Aktualizacja (remediacja właściwa)
3) Rotacja sekretów (po aktualizacji)
4) Dodatkowe twardnienie i ograniczenie powierzchni ataku
# nftables – ratelimiting IKEv2 (przykład) nft add table inet edge nft add chain inet edge input { type filter hook input priority 0 \; } nft add rule inet edge input udp dport {500,4500} ct state new limit rate 20/second accept nft add rule inet edge input udp dport {500,4500} dropiked przynajmniej tymczasowo.5) Doraźne obejścia (gdy nie możesz od razu patchować)
6) Wykrywanie w sieci (IDS/IPS) – przykładowa reguła Suricata
Heurystyka: nieproporcjonalnie duże IDi w IKE_AUTH. Reguła orientacyjna – wymaga testów i dostrojenia w danym środowisku.
alert udp any any -> $HOME_NET [500,4500] (
msg:"IKEv2 anomaly: oversized IDi in IKE_AUTH (WatchGuard CVE-2025-9242 heuristic)";
flow:to_server;
dsize:>600; # heurystyczny próg długości pakietu
content:"|2f|"; offset:0; depth:1; # IKEv2 major/minor wersja w pierwszym bajcie: 0x2F (IKE_SA?); DEMO
classtype:attempted-admin; sid:25259242; rev:1;
)(IKEv2 nie ma banalnego „sygnaturowego” pola dla IDi bez pełnego parsowania – potraktuj to jako punkt startowy do własnej inspekcji).
7) Skany zewnętrzne / wykrywacze
iked.iked).iked pod kątem anomalii (duży IDi) oraz stabilność procesu – to praktyczne IoA od producenta. iked. (watchTowr Labs)Na urządzeniach Fortinet FortiWeb (WAF) ujawniono i jest aktywnie wykorzystywane obejście uwierzytelniania prowadzące do tworzenia lokalnych kont administratora. Wektor ataku to path traversal na specyficznym endpointcie API, który pozwala napastnikowi wysłać żądanie HTTP i zarejestrować konto z uprawnieniami admina — bez podawania poświadczeń. Publiczne PoC i narzędzia detekcyjne są już dostępne, a ataki są masowo „sprayowane” z wielu adresów IP. Fortinet wydał wersję FortiWeb 8.0.2, która blokuje znany wektor (choć formalny wpis PSIRT odpowiadający dokładnie tej luce nie był jeszcze dostępny w chwili pierwszych publikacji).
fwbcgi i podanych IOC. Badacze wskazują na path traversal przez punkt:
/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgiŻądanie POST z odpowiednio przygotowanym payloadem tworzy lokalne konto administratora. W logach widać następnie udane logowanie na nowo utworzony użytkownik.
Testpoint, trader1, traderAFT3$tH4ck, AFT3$tH4ckmet0d4yaga!n, inne jednorazowe ciągi.107.152.41.19, 144.31.1.63, zakres 185.192.70.0/24, 64.95.13.8, itd.Rapid7 wykazał, że na FortiWeb 8.0.1 exploit sukcesywnie tworzy konto admina (HTTP 200 OK z JSON potwierdzającym utworzenie), a na 8.0.2 zwraca 403 Forbidden. To silna przesłanka, że 8.0.2 zawiera zmiany blokujące znany wektor (nawet jeśli vendor nie opisał ich jako „security fix” wprost).
Release notes dla 8.0.2 są dostępne publicznie (build 0060).
prof_admin lub równoważnym profilem dostępu to w praktyce pełna kontrola nad FortiWeb (zmiany polityk, upload certyfikatów, modyfikacje routingu/connectorów, eksport konfiguracji). Poniższe kroki są uporządkowane wg priorytetu „incydent już trwa / aktywny exploit”.
FortiWeb 8.0.2 (build 0060). Zweryfikuj wersję po aktualizacji.fwbcgi, nowe konta)Na serwerze SIEM / w logach WAF wyszukaj żądania POST do fwbcgi z podejrzanych źródeł:
Splunk
index=fortiweb sourcetype=fortiweb:access OR sourcetype=fortiweb:system
| rex field=uri_path "(?<endpoint>fwbcgi)"
| search method=POST endpoint=fwbcgi
| stats count by _time, src_ip, http_status, uri, user, user_agentElastic (KQL)
(event.dataset: "fortiweb.*" and http.request.method:"POST" and url.path:*fwbcgi*)
| stats count by source.ip, http.response.status_code, url.full, user_agent.original, @timestampGrep (jeśli logi dostępne na hostach kolektorów)
grep -Rin "POST .*fwbcgi" /var/log/fortiweb/ 2>/dev/nullDodatkowo przefiltruj po znanych IOC (przykładowe IP z raportów) oraz po user-agentach nietypowych dla panelu.
W panelu/CLI przejrzyj listę lokalnych adminów i szukaj niespodziewanych wpisów (np. Testpoint, trader1, losowe ciągi).
Przykładowe (CLI FortiWeb – składnia zbliżona do FortiOS):
config system admin
show
endJeśli pojawią się konta „obce”:
config system admin
delete <nazwa_konta>
endNastępnie: wymuś rotację haseł dla wszystkich kont uprzywilejowanych i przejrzyj audit logi (kto i skąd się logował).
get system status # sprawdź wersję FortiWeb (oczekiwane 8.0.2)
config system interface # ogranicz źródła zarządzania do mgmt-VPN/subnetów
config system global
set admin-scp enable
set admin-https-redirect enable
endDodatkowo włącz listy zaufanych hostów (trust hosts) dla kont admina.
admin%3f/../../../../../cgi-bin/fwbcgi (ew. normalizacja URL!).fwbcgi, oraz IOC opublikowane przez badaczy. 13 listopada 2025 r. opublikowano zaktualizowaną wspólną poradę (#StopRansomware) dot. grupy Akira. Dokument (AA24-109A) ostrzega o pilnym zagrożeniu dla infrastruktury krytycznej, nowych technikach oraz wskaźnikach kompromitacji (IOC). Najistotniejszy wątek: wejście przez urządzenia VPN (szczególnie SonicWall, CVE-2024-40766) i rozszerzenie szyfrowania na maszyny wirtualne Nutanix AHV, obok już znanych ataków na VMware ESXi/Hyper-V.
Akira działa co najmniej od marca 2023 r., początkowo Windows + rozszerzenie .akira, potem Megazord (Rust, rozszerzenie .powerranges) oraz Akira_v2; cele na wielu kontynentach i sektorach (produkcja, edukacja, IT, zdrowie, finanse, F&A). Autorzy łączą Akirę z aliasami Storm-1567/Howling Scorpius/Punk Spider/Gold Sahara i możliwymi koneksjami do upadłej Conti.
Od połowy 2025 r. obserwowano kampanię przeciw SonicWall SSL VPN – potwierdzoną też przez CERT-y/branżę (ACSC/ASD, vendor SonicWall, analizy Darktrace/Arctic Wolf).
Przykładowe zapisy do detekcji (Sigma, logon VPN SonicWall – event nieudany/udany z nietypowego ASN/geo):
title: SonicWall SSLVPN Suspicious Geo ASN Login
logsource:
product: sonicwall
service: sslvpn
detection:
selection:
outcome: success
filter_geo:
src_country|contains:
- 'CN'
- 'RU'
- 'BR'
condition: selection and filter_geo
level: medium
tags: [attack.t1110, initial-access]Szybki „hunt” w Windows (PowerShell):
# Nowo utworzeni członkowie Domain Admins w 7d
Get-ADGroupMember "Domain Admins" |
ForEach-Object { Get-ADUser $_ -Properties whenCreated } |
Where-Object { $_.whenCreated -gt (Get-Date).AddDays(-7) } |
Select-Object Name, SamAccountName, whenCreated
# Artefakty net/nltest w PowerShell Operational (ID 4104/4103) i Security 4688
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 5000 |
Where-Object {$_.Message -match 'nltest|net.exe'}Przykładowe reguły (Sysmon/Sigma) – Impacket & nltest:
title: Impacket WMIExec Child Of Python
logsource: { product: windows, service: sysmon }
detection:
sel1: { EventID: 1, ParentImage|endswith: '\python.exe', Image|endswith: '\wmic.exe' }
sel2: { EventID: 3, DestinationPort: 135 } # DCOM
condition: sel1 or sel2
level: high
tags: [attack.t1047, lateral-movement]
---
title: Domain Discovery with nltest
logsource: { product: windows, service: security }
detection:
sel: { EventID: 4688, NewProcessName|endswith: '\nltest.exe' }
condition: sel
level: medium
tags: [attack.t1018,t1482]Przykładowe zapory/SDN – ogranicz RDP/SMB/WMI do stref adminów:
# Linux nftables - blokuj SMB z podsieci użytkowników do serwerów
nft add rule inet filter forward ip saddr 10.20.0.0/16 ip daddr 10.30.10.0/24 tcp dport {445,139} dropW dniach 10–14 listopada 2025 r. międzynarodowe służby ścigania przeprowadziły kolejną fazę Operation Endgame, wymierzoną w trzy istotne elementy ekosystemu cyberprzestępczego: Rhadamanthys (info-stealer), VenomRAT (RAT) oraz Elysium (botnet/infrastruktura C2). W wyniku działań przejęto 20 domen, zakłócono lub wyłączono 1 025 serwerów C2, przeszukano 11 lokalizacji oraz aresztowano kluczowego podejrzanego w Grecji powiązanego z VenomRAT. Organy ścigania podkreślają skalę szkód: setki tysięcy zainfekowanych komputerów i kilka milionów skradzionych poświadczeń, w tym dostęp do >100 000 portfeli kryptowalutowych ofiar.
Operation Endgame to seria skoordynowanych akcji (2024–2025) ukierunkowanych na loader’y, botnety i zaplecze C2 dla gangów ransomware. Wcześniejsze etapy obejmowały m.in. zakłócenie IcedID, Bumblebee, Pikabot, TrickBot, SystemBC i innych, a łączne przejęcia środków sięgają dziesiątek milionów euro. Najnowsza tura („Endgame 3.0”) rozszerza presję na stealery i RAT-y, czyli narzędzia do inicjalnego dostępu i kradzieży tożsamości.
Poniżej przykładowe, bezpieczne zapytania do SIEM (dostosuj do swojego telemetry):
Sigma (proxy/DNS) – podejrzane panele Rhadamanthys/Elysium
title: Suspicious Panel Access Potentially Related to Info-Stealer C2
logsource: { category: proxy }
detection:
selection:
cs-method|endswith: '/gate' # często używane ścieżki paneli
cs-host|re: '(?i)(admin|panel|login)[\.-].*'
condition: selection
falsepositives: high
level: mediumZeek – anomalia JA3/JA3S (RAT/Stealer)
# przykładowe pivoty na niestandardowe zestawy szyfrów
cat ssl.log | zeek-cut id.resp_p ja3 | awk '{count[$2]++} END {for (j in count) if (count[j]>50) print j, count[j]}' | sort -nrSuricata – heurystyka POST do świeżo zarejestrowanych domen
alert http any any -> $EXTERNAL_NET any (msg:"Heuristic exfil via recent domain"; http.method; content:"POST"; nocase; pcre:"/Host:\s([a-z0-9-]+\.)+[a-z]{2,}$/Hi"; threshold: type both, track by_dst, count 50, seconds 60; classtype:policy; sid:4000011; rev:1;)%AppData%:# Autoruns - klucze Run
Get-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run','HKLM:\...\Run' | Format-List
# Zaplanowane zadania z nieznanych ścieżek
Get-ScheduledTask | ? {$_.TaskPath -notmatch '\\Microsoft\\'} | Select TaskName, TaskPath
# Nietypowe pliki w AppData
Get-ChildItem "$env:APPDATA" -Recurse -ErrorAction SilentlyContinue | ? {$_.Extension -in ".tmp",".dat",".log",".scr",".cmd",".vbs",".js"}%AppData%, %Temp%, %ProgramData%.11–12 listopada 2025 r. Mozilla i Google opublikowały stabilne aktualizacje przeglądarek Firefox 145 oraz Chrome 142, które usuwają istotne podatności bezpieczeństwa.
Dodatkowo Firefox 145 wprowadza rozszerzone mechanizmy anty-fingerprinting, które znacząco utrudniają śledzenie użytkowników.
Firefox od kilku wersji intensywnie rozwija WebGPU oraz równolegle twarde zabezpieczenia prywatności (ETP, Total Cookie Protection, anti-fingerprinting). W wydaniu 145 te dwa wątki „spotykają się”: z jednej strony naprawy błędów renderera, z drugiej — kolejne warstwy utrudniające identyfikację urządzenia.
Chrome cyklicznie dostarcza szybkie poprawki V8; nawet pojedyncza łatka „high” bywa krytyczna ze względu na ryzyko zdalnej eksploatacji przez złośliwy JS.
Najważniejsze elementy z MFSA 2025-87:
Uwaga: Mozilla i Google nie raportują na dziś potwierdzonych ataków „in the wild” dla wymienionych CVE, ale okno na odwrócenie łat (patch diffing) jest realne — szybka aktualizacja ma znaczenie.
Nowe zabezpieczenia anty-fingerprinting standaryzują i/lub szumią część sygnałów identyfikacyjnych (m.in. rozdzielczość, czcionki, wskaźniki sprzętowe), obniżając odsetek unikatowych odcisków przeglądarki w testach Mozilli; startowo w Private Browsing i ETP Strict, z planem rozszerzeń.
GUI:
Menu → Help → About Google Chrome (uruchomi auto-update).Menu → Pomoc → O programie Firefox.CLI (pojedyncze stacje):
# Windows (winget)
winget upgrade --id Google.Chrome --source winget
winget upgrade --id Mozilla.Firefox --source winget# macOS (Homebrew)
brew update && brew upgrade --cask google-chrome firefox# Ubuntu/Debian (repozytoria producentów)
sudo apt-get update
sudo apt-get install --only-upgrade google-chrome-stable firefox# RHEL/Fedora
sudo dnf upgrade google-chrome-stable firefoxWindows/PowerShell (skan szybki):
# Chrome
Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" -ErrorAction SilentlyContinue |
Select-Object DisplayVersion
# Firefox (64-bit)
Get-ItemProperty "HKLM:\Software\Mozilla\Mozilla Firefox" -ErrorAction SilentlyContinue |
Select-Object CurrentVersionmacOS (Chrome/Firefox):
# Chrome
defaults read "/Applications/Google Chrome.app/Contents/Info.plist" CFBundleShortVersionString
# Firefox
defaults read "/Applications/Firefox.app/Contents/Info.plist" CFBundleShortVersionStringLinux (wersje):
google-chrome --version
firefox --version142.0.7444.Tylko jeśli musisz utrzymać ekspozycję do czasu rollout’u aktualizacji.
Firefox — ogranicz WebGPU:
about:config → ustaw dom.webgpu.enabled=false.Chrome: brak sensownego obejścia dla błędu w V8 poza szybką aktualizacją i twardymi zasadami przeglądania (uBO/NoScript, izolacja profili o podwyższonym ryzyku).
W najnowszej kampanii ofensywnej zaobserwowano równoległe wykorzystanie dwóch błędów 0-day w kluczowych komponentach tożsamości i dostępu:
Według najnowszych doniesień, ten sam aktor wykorzystywał oba błędy przed publikacją łat, co wprost uderza w infrastrukturę IAM/NAC i ułatwia trwałą kontrolę nad środowiskiem ofiary.
Nazwa „CitrixBleed 2” nawiązuje do CitrixBleed (CVE-2023-4966) z 2023 r., który był masowo nadużywany m.in. przez grupy ransomware. Obecna luka ma podobny skutek (wyciek pamięci → przejęcie sesji), ale dotyczy nowszych wersji NetScaler i znów eksponuje perymetr zdalnego dostępu.
Po stronie Cisco ISE producent 25 czerwca 2025 r. opublikował poradnik o krytycznych RCE w ISE/ISE-PIC i w lipcu dodał CVE-2025-20337, potwierdzając maksymalną wagę problemu. Niezależne ośrodki (CERT-EU, NVD, NHS) spójnie wskazują na pre-auth RCE przez API.
Amazon opisał wykorzystanie obu podatności jako 0-day jeszcze przed wydaniem łat – klasyczny przykład „patch-gap exploitation” (okno między wykryciem a pełnym rolloutem poprawek). Wnioski: zarządzanie ekspozycją i telemetria/anomalia wygrywają z samą prędkością patchowania.
Skoro obserwowano pre-patch exploitation, traktuj oba urządzenia jak potencjalnie naruszone. Priorytet: skracać ekspozycję i podnosić wierność logowania.
Poniższe przykłady są defensywne (bez exploitów):
Splunk (NetScaler – anomalia sesji/admin hijack)
index=netscaler sourcetype=citrix:netscaler:*
| eval ua=coalesce(http_user_agent, user_agent)
| stats count dc(src_ip) values(ua) as uas by cs_user, http_cookie
| where count>1 AND dc(src_ip)>1Wyszukuje dzielone ciasteczka/sesje z różnych IP (hijack).
Splunk (Cisco ISE – podejrzane wywołania API)
index=cisco_ise sourcetype=cisco:ise:rest
| stats count values(http_method) as m values(uri_path) as up by src_ip, user
| where user="-" OR user="anonymous" OR like(m,"%POST%")Wykrywa anonimowe POST-y do API.
Sigma (ogólne, do SIEM z HTTP logami)
title: Suspicious Anonymous API Calls to NAC/IAM
logsource: { category: webserver }
detection:
selection:
http.status: [200,201,204,500]
http.verb: POST
http.user: "-"
http.path|contains:
- "/ers/config" # ISE ERS API
- "/oauth" # token endpoints
- "/nitro/v1/config" # NetScaler NITRO API
condition: selection
level: highJeśli NetScaler/ISE federuje się z IdP/SSO, rozważ rotację kluczy podpisywania (SAML/OIDC), unieważnienie refresh tokenów i ponowne wymuszenie MFA.