Archiwa: SIEM - Strona 39 z 61 - Security Bez Tabu

CVE-2025-68613 (n8n)

TL;DR

  • CVE: CVE-2025-68613 — krytyczne RCE w platformie automatyzacji workflow n8n (expression evaluation / expression injection), wymagające uwierzytelnienia użytkownika (PR:L).
  • Wpływ: wykonanie dowolnego kodu z uprawnieniami procesu n8n → potencjalne przejęcie instancji, modyfikacje workflow, dostęp do danych/sekretów.
  • Wersje podatne: >= 0.211.0 oraz < 1.120.4 (oraz osobna gałąź >= 1.121.0 i < 1.121.1)`.
  • Wersje naprawione: 1.120.4, 1.121.1, 1.122.0; rekomendacja maintainerów: upgrade do 1.122.0+ (dodatkowe zabezpieczenia).
  • CVSS (CNA/GitHub): 9.9 CRITICAL, CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H.
  • MITRE ATT&CK mapowanie (główne): T1190 Exploit Public-Facing Application (takt. Initial Access). ATT&CK v18, technika T1190 v2.8, Last Modified: 24 Oct 2025.
  • Ryzyko „skali Internetu”: Censys raportował ~103,476 potencjalnie podatnych instancji (stan na 22 grudnia 2025) oraz „no known exploitation at time of writing”.

Krótka definicja techniczna

T1190 (Exploit Public-Facing Application) to technika Initial Access, w której atakujący wykorzystuje lukę w aplikacji/usłudze wystawionej na Internet (lub szerzej: osiągalnej z sieci), aby uzyskać dostęp i uruchomić kod w kontekście tej aplikacji. W przypadku CVE-2025-68613 wektor jest sieciowy, a „wejściem” są workflow expressions w n8n oceniane w kontekście niedostatecznie odizolowanym od runtime, co daje RCE z uprawnieniami procesu n8n.


Gdzie występuje / przykłady platform (Windows, AD, AWS, Azure, GCP, K8s, ESXi, M365)

Typowe środowiska dla n8n + ryzyko T1190/CVE-2025-68613:

  • Windows: n8n jako proces node.exe/usługa; detekcja głównie po process creation (4688/Sysmon EID 1) i anomaliach w ruchu wychodzącym.
  • Linux: najczęściej spotykane wdrożenie (bare metal/VM/containers); detekcja po execve (auditd) i potomkach procesu node.
  • K8s (EKS/AKS/GKE): n8n jako Deployment/StatefulSet; ślady w K8s audit, logach Ingress (nginx/traefik), oraz w telemetrii runtime (Falco/eBPF).
  • AWS: n8n na EC2/ECS/EKS; ryzyko wzrasta, jeśli instancja ma rolę IAM (po RCE możliwa kradzież tokenów z metadata). T1190 wspiera platformy IaaS/Containers.
  • Azure: n8n na VM/AKS; analogicznie — MDE/AMA/Defender for Cloud do korelacji procesu i sieci.
  • GCP: n8n na GCE/GKE; analogicznie — Cloud Logging + VPC Flow Logs + GKE audit.
  • ESXi: n8n uruchomione jako VM; kontekst T1190 obejmuje również ESXi jako platformę (ogólnie dla public-facing usług).
  • AD: sama luka nie jest „AD-specific”, ale dostęp uwierzytelniony bywa pochodną kompromitacji tożsamości/SSO. W praktyce koreluj: logowanie do n8n ↔ zmiany workflow ↔ zdarzenia na hostach domenowych, jeśli n8n ma integracje.
  • M365: jeśli n8n przechowuje tokeny do M365 (Graph/Exchange/SharePoint), po przejęciu instancji ryzykujesz nadużycie tych tokenów; szukaj anomalii w M365 Unified Audit Log (operacje administracyjne, nietypowe OAuth usage).

Szczegółowy opis techniki (jak działa, cele, dlaczego jest skuteczna)

Mechanika (na przykładzie n8n i CVE-2025-68613)

  1. Warunek wstępny: atakujący posiada dostęp uwierzytelniony do n8n (PR:L).
  2. Punkt wejścia: podczas konfiguracji workflow wprowadzane są expressions (np. w polach korzystających z expression engine).
  3. Błąd izolacji: w podatnych wersjach expression evaluation może odbywać się w kontekście niewystarczająco odizolowanym od runtime (CWE-913).
  4. Efekt: możliwość uruchomienia dowolnego kodu z uprawnieniami procesu n8n → odczyt/zmiana workflow, dostęp do danych, potencjalne operacje systemowe.

Dlaczego to jest skuteczne w realnym środowisku

  • n8n bywa wystawiane na Internet (panel edycji, webhooki, API), a workflow często przechowują sekrety i integracje (SaaS, chmury).
  • Wymóg uwierzytelnienia nie „ratuje” sytuacji, jeśli:
    • konta są współdzielone,
    • brak MFA,
    • jest SSO z podatnym IdP,
    • dochodzi do przejęcia sesji/tokenów.
  • Skuteczność rośnie, gdy proces n8n działa z szerokimi uprawnieniami (np. root w kontenerze, dostęp do socketa Dockera, dostęp do metadata/roli IAM, szeroki egress).

Artefakty i logi (tabela — EID, CloudTrail events, K8s audit, M365 operations)

WarstwaŹródło logów / artefaktID / typ zdarzeniaCo polować (IOA)
Aplikacjan8n logs (console/file, najlepiej json)[brak EID]Nagłe błędy evaluatora, nietypowe pola expressions, wzrost błędów 5xx w UI/API; ustaw N8N_LOG_FORMAT=json dla parsowalności.
Aplikacjan8n “Security audit” (n8n audit, /audit)[raport]Wykrycie ryzykownych node’ów, niechronionych webhooków, brakujących ustawień, „outdated instance”.
Reverse proxy/WAFNginx/Traefik/ALB/Ingress access logsHTTP accessSekwencja: logowanie → edycja workflow/API → błędy 5xx/4xx → chwilę później anomalie procesowe/egress (korelacja).
WindowsSecurity4688node.exe/n8n uruchamia cmd.exe, powershell.exe lub narzędzia sieciowe (nietypowe dla automatyzacji).
WindowsSysmonEID 1, 3, 11Process create + network connect + file create w krótkim oknie czasu po zmianie workflow.
Linuxauditdexecve, connectProces node (n8n) spawn’uje /bin/sh, interpretery, pobiera pliki, tworzy cron/systemd.
K8sK8s audit logcreate/patch/execNiespodziewane pods/exec, zmiany w Deployment/Secret/ConfigMap po incydencie (jeśli atak eskaluje do K8s API).
AWSCloudTrailAssumeRole, GetCallerIdentity, List*, Get*, Put*Nietypowe użycie roli/kluczy przypisanych do n8n/instancji po symptomach RCE (szczególnie STS).
M365Unified Audit LogOperacje Exchange/SharePoint/EntraSkok w aktywności aplikacji/OAuth (jeśli w n8n były tokeny do M365) — koreluj czasowo z przejęciem instancji.

Uwaga: część wpisów (CloudTrail/M365/K8s) jest warunkowa — zależy od tego, jakie integracje i uprawnienia ma n8n w Twoim środowisku.


Detekcja (praktyczne reguły)

Sigma (gotowa reguła)

title: Suspicious child process spawned by n8n / Node.js (possible n8n RCE - CVE-2025-68613)
id: 3e7b6d6a-3a33-4a23-9a9a-2c7e3b6f4c11
status: experimental
description: >
  Detects suspicious process spawning patterns where a Node.js-based n8n service spawns shells
  or common system utilities. Useful as a post-exploitation signal for CVE-2025-68613.
references:
  - https://nvd.nist.gov/vuln/detail/CVE-2025-68613
author: Badacz CVE (SOC/Blue Team)
date: 2025/12/24
tags:
  - attack.initial_access
  - attack.t1190
  - attack.execution
logsource:
  category: process_creation
  product: windows
detection:
  selection_parent:
    ParentImage|endswith:
      - '\node.exe'
      - '\n8n.exe'
  selection_child:
    Image|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
      - '\pwsh.exe'
      - '\wscript.exe'
      - '\cscript.exe'
      - '\bitsadmin.exe'
      - '\certutil.exe'
      - '\mshta.exe'
      - '\rundll32.exe'
  condition: selection_parent and selection_child
falsepositives:
  - Legitimate automation that intentionally executes OS commands from workflows (high-risk design).
  - Maintenance scripts launched by the n8n service account.
level: high

Splunk (SPL)

Przykład dla Sysmon (EID 1) lub równoważnych zdarzeń procesu:

index=endpoint (sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1)
(
  ParentImage="*\\node.exe" OR ParentImage="*\\n8n.exe" OR ParentCommandLine="* n8n *"
)
(
  Image="*\\cmd.exe" OR Image="*\\powershell.exe" OR Image="*\\pwsh.exe" OR Image="*\\wscript.exe" OR Image="*\\cscript.exe"
  OR Image="*\\bitsadmin.exe" OR Image="*\\certutil.exe" OR Image="*\\mshta.exe" OR Image="*\\rundll32.exe"
)
| stats count min(_time) as first_seen max(_time) as last_seen values(Computer) values(User) values(ParentCommandLine) values(CommandLine) by Image, ParentImage
| convert ctime(first_seen) ctime(last_seen)

KQL (Azure / Microsoft Defender for Endpoint)

Wariant oparty o DeviceProcessEvents:

DeviceProcessEvents
| where InitiatingProcessFileName in~ ("node.exe", "node", "n8n.exe", "n8n")
| where FileName in~ ("cmd.exe","powershell.exe","pwsh.exe","wscript.exe","cscript.exe","bash","sh")
| project Timestamp, DeviceName, AccountName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, ProcessCommandLine, FolderPath, SHA256
| order by Timestamp desc

CloudTrail query (AWS CLI/CloudWatch)

CloudWatch Logs Insights (przykład “polowania” na nietypowe STS/Identity po objawach kompromitacji aplikacji):

fields @timestamp, eventSource, eventName, userIdentity.type, userIdentity.arn, sourceIPAddress, userAgent
| filter eventSource in ("sts.amazonaws.com","iam.amazonaws.com")
| filter eventName in ("AssumeRole","GetCallerIdentity","CreateAccessKey","PutUserPolicy","AttachRolePolicy")
| sort @timestamp desc
| limit 200

AWS CLI (jeśli trzymasz CloudTrail w S3 i masz Athena/Glue — tutaj tylko “szkielet”; dostosuj do swojego źródła logów):

# Wyszukaj zdarzenia STS dla roli/ARN powiązanej z n8n (uzupełnij <ROLE_ARN_FRAGMENT>)
aws cloudtrail lookup-events \
  --lookup-attributes AttributeKey=EventSource,AttributeValue=sts.amazonaws.com \
  --max-results 50 \
| jq '.Events[] | select(.CloudTrailEvent | contains("<ROLE_ARN_FRAGMENT>"))'

Elastic/EQL przykłady

EQL dla Elastic Endpoint / logs-*:

process
where event.type == "start"
  and process.parent.name in ("node","node.exe","n8n","n8n.exe")
  and process.name in ("cmd.exe","powershell.exe","pwsh.exe","bash","sh","wscript.exe","cscript.exe")

Heurystyki / korelacje (co łączyć)

Najlepiej działa korelacja „multi-sygnał” (T1190), zgodna z ideą: request → error → post-exploit behavior:

  1. Ingress/WAF/Reverse proxy: nietypowe żądania do n8n + skok 4xx/5xx.
  2. Aplikacja: logi n8n (w JSON) pokazują wzmożoną aktywność edycji/uruchomień workflow albo błędy w evaluacji.
  3. Host/Container: proces node zaczyna tworzyć nietypowe potomki (shell/interpretery) w krótkim oknie czasu po anomaliach HTTP.
  4. Egress: nowe połączenia wychodzące (szczególnie do Internetu lub do usług typu metadata 169.254.169.254 w chmurach — jeśli środowisko to umożliwia).
    MITRE opisuje taki łańcuch korelacyjny jako skuteczną strategię detekcji dla T1190 (również dla aplikacji kontenerowych i chmurowych).

False positives / tuning

Najczęstsze źródła FP:

  • Środowiska, w których n8n z założenia uruchamia polecenia systemowe (workflow jako „orchestrator” hosta).
  • Zadania administracyjne (backup, eksport, maintenance) wykonywane przez konto serwisowe n8n.

Tuning praktyczny:

  • Dodaj warunek kontekstu: alertuj tylko, jeśli parent=Node/n8n uruchamia shell i jednocześnie:
    • jest „nowy” zewnętrzny kierunek egress,
    • wystąpił spike 5xx,
    • zaszła zmiana workflow/aktywacja workflow w nietypowych godzinach.
  • Wykorzystaj n8n audit do identyfikacji “risky nodes”/niechronionych webhooków i potraktuj je jako wskaźnik podwyższonego ryzyka (priorytetyzacja instancji do hardeningu).

Playbook reagowania (kroki + komendy)

Krok 1 — identyfikacja narażenia (scoping)

  • Sprawdź wersję n8n i porównaj z zakresem podatności oraz wersjami naprawionymi.
  • Jeśli korzystasz z logów plikowych/JSON — upewnij się, że logowanie jest włączone i parsowalne (np. N8N_LOG_FORMAT=json, N8N_LOG_OUTPUT=file).

Przykładowe komendy (Linux/Docker, defensywne):

docker ps --format 'table {{.Names}}\t{{.Image}}\t{{.Status}}'
docker inspect <n8n_container> --format '{{.Config.Image}}'
docker logs <n8n_container> --since 24h | tail -n 200

Krok 2 — natychmiastowe ograniczenie ryzyka (containment)

Zalecenia workarounds od maintainerów (tymczasowe, gdy nie możesz patchować od razu):

  • Ogranicz prawa do tworzenia/edycji workflow wyłącznie do w pełni zaufanych użytkowników.
  • Uruchom n8n w środowisku utwardzonym: najmniejsze uprawnienia OS, segmentacja, ograniczony egress.

Krok 3 — zebranie materiału dowodowego

  • Zbierz: logi reverse proxy/WAF, logi n8n (najlepiej JSON), zdarzenia procesów na hoście, listę aktywnych połączeń, listę zmienionych plików w ostatnich 24–72h.

Przykładowe komendy (Linux):

# połączenia i procesy (triage)
ss -tpn
ps -eo pid,ppid,user,cmd --sort=-%cpu | head

# szybkie polowanie na świeże pliki (dostosuj ścieżki do wdrożenia)
find / -xdev -mtime -2 -type f 2>/dev/null | head

Krok 4 — eradication i recovery

  • Upgrade do wersji naprawionej: 1.120.4 / 1.121.1 / 1.122.0, preferencyjnie 1.122.0+.
  • Jeśli podejrzewasz przejęcie: potraktuj instancję jak „burned”:
    • rotuj sekrety/tokenu API używane w workflow,
    • wymuś reset sesji/kont,
    • rozważ redeploy z czystego obrazu + odtworzenie workflow z zaufanego backupu.

Krok 5 — działania po incydencie (hardening)

Odnieś się do mitigations dla T1190:

  • Update Software (M1051) + procedury szybkiego patchowania,
  • Network Segmentation (M1030) / DMZ,
  • Filter Network Traffic (M1037) (szczególnie outbound),
  • Application Isolation and Sandboxing (M1048).

Przykłady z kampanii / case studies

  • Skala ekspozycji: Censys raportował 103,476 potencjalnie podatnych instancji (stan na 22 grudnia 2025), co typowo napędza skanowanie oportunistyczne po publikacji krytycznego RCE.
  • Status exploitacji: według Censys (22 grudnia 2025) „No known exploitation at time of writing” — to nie jest gwarancja bezpieczeństwa, ale ważny punkt odniesienia w komunikacji ryzyka.
  • Disclosure: advisory na GitHub opublikowano 19 grudnia 2025, jako krytyczne, z przypisaniem CWE-913 i wskazaniem patched versions.

Lab (bezpieczne testy) — przykładowe komendy

Poniżej bezpieczne testy dla zespołu SOC/Blue Team (bez payloadów i bez instrukcji exploitacji):

  1. Weryfikacja konfiguracji logowania (parsowalność pod SIEM)
    Zgodnie z dokumentacją n8n ustaw logi na JSON i wyjście do pliku/console (w zależności od wdrożenia).
export N8N_LOG_FORMAT=json
export N8N_LOG_OUTPUT=console,file
export N8N_LOG_LEVEL=info
  1. Uruchomienie security audytu n8n
    To test „higieny” instancji (risky nodes, niechronione webhooki, outdated instance).
# w środowisku testowym / na kopii instancji
n8n audit
  1. Test detekcji post-exploit (symulacja TTP bez exploita)
  • W labie sprawdź, czy Twoje EDR/SIEM podnosi alert, gdy proces node uruchamia nieoczekiwany interpreter/shell (symulacja kontrolowana przez administratora labu).
  • Celem jest walidacja reguł Sigma/SPL/KQL/EQL z sekcji 7.

Mapowania (Mitigations, Powiązane techniki)

Mitigations dla T1190 (MITRE)

Z techniki T1190 wynikają szczególnie praktyczne mitygacje:

  • M1048 Application Isolation and Sandboxing
  • M1050 Exploit Protection (np. WAF)
  • M1037 Filter Network Traffic (zwłaszcza outbound z serwera aplikacji)
  • M1035 Limit Access to Resource Over Network
  • M1030 Network Segmentation
  • M1026 Privileged Account Management (least privilege konta usługi)
  • M1051 Update Software
  • M1016 Vulnerability Scanning

Powiązane techniki (praktyczne mapowanie łańcucha zdarzeń)

  • T1190 Exploit Public-Facing Application (główne; wejście przez podatną instancję n8n).
  • T1078 Valid Accounts (wymóg uwierzytelnienia w CVE sugeruje nadużycie kont/poświadczeń jako warunek).
  • T1059 Command and Scripting Interpreter (częsty etap po RCE: uruchamianie poleceń/interpreterów).
  • Dalsze (zależne od scenariusza): credential access, lateral movement, collection — zależnie od tego, jakie integracje i sekrety przechowuje n8n.

Źródła / dalsza literatura

  • MITRE ATT&CK: T1190 Exploit Public-Facing Application (ATT&CK v18; Last Modified 24 Oct 2025). (MITRE ATT&CK)
  • NVD: CVE-2025-68613 (opis, CVSS z CNA/GitHub, wektor). (NVD)
  • GitHub Security Advisory (n8n): GHSA-v98v-ff95-f3cp (affected/patched, workarounds, CWE-913). (GitHub)
  • Censys advisory: ekspozycja i status exploitacji (stan na 22 Dec 2025). (Censys)
  • n8n Docs: Logging oraz zmienne środowiskowe logów (N8N_LOG_FORMAT, N8N_LOG_LEVEL, itp.). (n8n Docs)
  • n8n Docs: Security audit (n8n audit, /audit). (n8n Docs)

Checklisty dla SOC / CISO

SOC (operacyjnie)

  • Zidentyfikuj instancje n8n wystawione na Internet (ASM/CMDB) i sprawdź wersje vs zakres podatności.
  • Włącz/utwardź logowanie n8n (JSON + centralizacja do SIEM).
  • Wdróż reguły na process spawning (node→shell) + korelacje request→error→post-exploit.
  • Przejrzyj uprawnienia użytkowników: kto może tworzyć/edytować workflow; ogranicz do zaufanych ról.
  • Po patchu: retrospektywnie przeszukaj logi od 2025-12-19 (data disclosure) pod kątem anomalii.

CISO (zarządczo)

  • Egzekwuj patch management dla internet-facing apps (SLA dla CRITICAL).
  • Wymuś segmentację i ograniczenie egress dla usług automatyzacji (n8n jako high-risk).
  • Zdefiniuj standard: workflow automation nie działa jako root i nie ma szerokich uprawnień do chmury bez potrzeby.
  • Włącz okresowy security audit instancji (w tym “risky nodes”/webhook exposure).

Rumuński urząd gospodarki wodnej „Apele Române” zaatakowany ransomware: ok. 1000 systemów zaszyfrowanych przez nadużycie BitLockera

Wprowadzenie do problemu / definicja luki

W weekend 20–22 grudnia 2025 rumuńska administracja gospodarki wodnej Administrația Națională „Apele Române” (ANAR) padła ofiarą ataku ransomware, który objął ok. 1000 systemów w centrali i 10 z 11 regionalnych administracji dorzeczy. Incydent dotknął głównie warstwę IT (serwery i stacje robocze), a nie systemy operacyjne OT sterujące infrastrukturą hydrotechniczną.

To zdarzenie jest dobrym przykładem trendu, który obserwujemy coraz częściej w sektorze publicznym i krytycznym: „ransomware” nie musi oznaczać wgrania egzotycznego szyfratora. Atakujący potrafią wykorzystać legalne mechanizmy systemu (tzw. living-off-the-land), aby uzyskać efekt paraliżu, a jednocześnie utrudnić detekcję i analizę.


W skrócie

  • Skala: ok. 1000 zaszyfrowanych/„zablokowanych” systemów; 10/11 jednostek regionalnych dotkniętych incydentem.
  • Zakres: serwery GIS, bazy danych, e-mail/web, DNS oraz stacje robocze Windows.
  • Technika: nadużycie wbudowanego w Windows BitLockera do zablokowania danych.
  • OT bez zmian: według komunikatów systemy OT nie zostały naruszone, a infrastruktura hydrotechniczna miała działać normalnie (koordynacja przez łączność głosową/radiową).
  • Żądanie okupu: pozostawiono notę z żądaniem kontaktu w terminie 7 dni.

Kontekst / historia / powiązania

„Apele Române” odpowiada za zarządzanie zasobami wodnymi i elementami infrastruktury hydrotechnicznej, a więc obszar, który w wielu krajach bywa klasyfikowany jako krytyczny (z punktu widzenia ciągłości działania państwa i bezpieczeństwa publicznego). Dlatego nawet „tylko IT” może mieć realne konsekwencje operacyjne: prognozowanie, raportowanie, dyspozytornie, obieg dokumentów, GIS i łączność to często krwioobieg działań terenowych.

W tle pojawia się też aspekt systemowy: w komunikatach cytowanych przez media wskazywano, że infrastruktura ANAR nie była wcześniej objęta krajowym systemem ochrony krytycznych infrastruktur IT, a po incydencie rozpoczęto działania integracyjne.


Analiza techniczna / szczegóły incydentu

1) Co dokładnie zostało dotknięte?

Z opisu incydentu wynika, że atak objął mieszankę typową dla środowisk administracji publicznej:

  • GIS (systemy informacji geograficznej),
  • serwery baz danych,
  • poczta i usługi web,
  • serwery DNS,
  • stacje robocze Windows oraz Windows Server.

To zestaw krytyczny dla pracy operacyjnej (planowanie, mapy, dane terenowe, komunikacja, rozliczenia), nawet jeśli sterowanie OT odbywa się osobnymi kanałami.

2) „Ransomware” przez BitLockera – dlaczego to ważne?

Najciekawszy technicznie element tej sprawy to ustalenie, że atakujący użyli BitLockera (wbudowanej funkcji Windows do szyfrowania dysków) w sposób złośliwy, by zablokować pliki na przejętych systemach.

To ma kilka praktycznych implikacji dla obrony:

  • mniej „sygnatur” malware – bo narzędzie jest legalne i często używane przez administratorów,
  • wyższe ryzyko błędnej interpretacji w SIEM/EDR, jeśli reguły „admin activity” są zbyt szerokie,
  • kluczowe staje się zarządzanie kluczami odzyskiwania (escrow) i kontrola uprawnień do włączania BitLockera.

3) Atak wektor i atrybucja

Na moment publikacji doniesień nie wskazano publicznie jednoznacznego wektora wejścia ani sprawcy (brak przypisania do konkretnej grupy).

Warto zauważyć, że przy scenariuszu „BitLocker jako szyfrator” atakujący zwykle potrzebują:

  • uprawnień administratora lokalnego lub domenowego (żeby masowo włączać szyfrowanie),
  • możliwości uruchamiania poleceń zdalnie (np. przez narzędzia administracyjne lub skrypty),
  • dostępu do kontrolerów domeny / polityk (GPO), jeśli szyfrowanie rozlewa się na dużą flotę.

To nie jest dowód na konkretną technikę w tym przypadku, ale pomaga zrozumieć, dlaczego wnioski obronne zwykle koncentrują się na AD, segmentacji i kontroli uprawnień.


Praktyczne konsekwencje / ryzyko

1) Ryzyko dla ciągłości działania

Nawet przy braku naruszenia OT, awaria warstwy IT potrafi:

  • opóźnić reakcję na zdarzenia hydrologiczne (mapy, dane, raporty),
  • utrudnić koordynację pracy terenowej,
  • zablokować obieg dokumentów i komunikację (e-mail),
  • zwiększyć ryzyko błędów operacyjnych, gdy organizacja przechodzi na tryb ręczny/telefoniczny.

W materiałach podkreślano, że dyspozytornie miały przejść na łączność głosową (telefon/radio), a podstawowe działania miały być kontynuowane.

2) Ryzyko danych i „podwójnego wymuszenia”

W dostępnych informacjach mowa jest o szyfrowaniu/zablokowaniu (ransom note), ale brak potwierdzenia publicznego, czy doszło do eksfiltracji danych.
W praktyce wiele kampanii łączy szyfrowanie z kradzieżą danych, więc organizacje zwykle muszą równolegle prowadzić analizę pod kątem wycieku (logi proxy, ruch wychodzący, konta uprzywilejowane, narzędzia do transferu).

3) Aspekt prawny i śledczy

Media informowały także o reakcji organów ścigania – wątek postępowania karnego pojawił się w relacjach dot. incydentu.


Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „do wdrożenia” w organizacjach, które chcą ograniczyć ryzyko scenariusza „ransomware przez BitLocker” i podobnych ataków na IT w instytucjach publicznych/CI.

1) Kontrola BitLockera i kluczy odzyskiwania

  • Wymuś centralny escrow kluczy odzyskiwania (AD/Azure AD/MDM) i audytuj pokrycie.
  • Ogranicz, kto może włączać BitLockera masowo (role, GPO, MDM), oraz monitoruj zmiany polityk.
  • W SIEM/EDR zbuduj alerty na:
    • nagłe fale „Enable BitLocker / manage-bde”,
    • masowe modyfikacje ochrony dysku,
    • nietypowe procesy uruchamiające komponenty BitLockera (np. z kontekstu usług zdalnych).

2) Ochrona AD i kont uprzywilejowanych

  • Wprowadź Tiering / PAW (oddzielne stacje dla adminów), MFA wszędzie, gdzie to możliwe.
  • Zastosuj zasadę Just Enough Administration i Just-In-Time dla uprawnień wysokiego ryzyka.
  • Odetnij możliwość lateral movement: segmentacja, blokady administracji z „user VLAN” do serwerów.

3) Twarde kopie zapasowe i odtwarzanie

  • Kopie 3-2-1 + offline/immutable (nieosiągalne z domeny).
  • Regularne testy odtwarzania: RTO/RPO dla GIS, DB, poczty, DNS.
  • Oddziel backup adminów od zwykłego AD (inny las/tenant lub przynajmniej inne konta i strefy zaufania).

4) Reakcja na incydent (checklista „pierwsze 24–72 h”)

  • Izolacja segmentów, blokada kont podejrzanych, rotacja haseł uprzywilejowanych.
  • Szybkie ustalenie „blast radius”: które hosty mają włączony BitLocker i czy klucze są dostępne.
  • Zabezpieczenie artefaktów (logi, obrazy dysków krytycznych systemów) zanim rozpocznie się masowe odtwarzanie.

5) Polityka okupu

W komunikatach przywoływano podejście, by nie negocjować z atakującymi w ramach rekomendacji krajowych instytucji cyber. Niezależnie od polityki organizacji, decyzja o płatności powinna wynikać z analizy prawnej, ryzyka oraz realnych możliwości odtworzenia usług (a nie z presji czasu w nocie okupu).


Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Wątek wyróżniający tę sprawę na tle „klasycznych” ataków ransomware to użycie BitLockera zamiast dedykowanego szyfratora. To wpisuje się w szerszą kategorię ataków „LOTL”, gdzie przestępcy minimalizują własny kod na ofierze, a maksymalizują użycie narzędzi wbudowanych lub powszechnych (co utrudnia detekcję i atrybucję).

BleepingComputer wskazywał też, że to kolejny głośny incydent ransomware w Rumunii w ostatnich latach, przypominając m.in. o wcześniejszych atakach na podmioty krytyczne (energetyka, ochrona zdrowia).


Podsumowanie / kluczowe wnioski

  • Incydent w „Apele Române” pokazuje, że paraliż IT w instytucji odpowiedzialnej za zasoby wody może być poważnym problemem nawet bez naruszenia OT.
  • Technicznie najważniejsza lekcja to ryzyko nadużycia BitLockera: legalna funkcja bezpieczeństwa może stać się narzędziem wymuszenia, jeśli atakujący zdobędą uprawnienia administracyjne.
  • Dla obrony kluczowe są: kontrola uprawnień (AD), segmentacja, backupy offline/immutable oraz monitoring aktywności związanej z szyfrowaniem dysków.

Źródła / bibliografia

  1. BleepingComputer – raport o ataku na Romanian Waters (ANAR), skala i BitLocker. (BleepingComputer)
  2. Digi24 – szczegóły dot. zakresu systemów, BitLocker i kontekst działań krajowych zespołów. (Digi24)
  3. HotNews – aktualizacja o braku wpływu na działania kluczowe, komunikacja głosowa, OT bez zmian. (HotNews.ro)
  4. Europa Liberă România (RFE/RL) – informacje o bezpieczeństwie obiektów hydrotechnicznych i wątku śledczym. (Europa Liberă România)
  5. The Register – dodatkowe potwierdzenie skali i czasu rozpoczęcia ataku. (go.theregister.com)

Fałszywe zaproszenia na „koncert noworoczny” w kampanii Paper Werewolf (GOFFEE): jak działa backdoor EchoGather i dlaczego XLL to problem

Wprowadzenie do problemu / definicja luki

Spear-phishing nadal wygrywa w atakach ukierunkowanych, bo omija „twarde” zabezpieczenia przez… człowieka. W opisywanej kampanii przynęta była wyjątkowo prozaiczna: fałszywe zaproszenie na koncert noworoczny skierowane do rosyjskojęzycznych odbiorców (m.in. środowisk wojskowych i sektora obronnego). Kluczowe jest jednak nie samo „zaproszenie”, lecz nośnik wykonania kodu: plik Excel XLL.

XLL to w praktyce biblioteka DLL ładowana przez Excela jako dodatek. W przeciwieństwie do makr VBA, XLL działa jako kod natywny ładowany do procesu Excela, co może utrudniać kontrolę politykami „anti-macro” i detekcję opartą o typowe heurystyki makr.


W skrócie

  • Badacze powiązali kampanię z grupą Paper Werewolf (GOFFEE) i nowym backdoorem EchoGather.
  • Wejście obejmowało złośliwy plik XLL (dodatek Excela) oraz alternatywne łańcuchy z WinRAR i plikami LNK/PowerShell.
  • EchoGather zbiera dane o hoście, beaconuje do C2 ukrytego pod ścieżkami wyglądającymi jak serwis dostaw jedzenia i wspiera m.in. zdalne komendy oraz eksfiltrację plików.
  • Intezer wskazuje również element „AI tradecraft”: przynęty PDF wyglądały na generowane AI i zawierały błędy językowe oraz zniekształcony symbol (imitacja godła).
  • Reuters podkreśla szerszy trend: łatwo dostępne narzędzia AI obniżają próg wejścia dla tworzenia wiarygodnych (lub „prawie wiarygodnych”) dokumentów-wabików.

Kontekst / historia / powiązania

GOFFEE (znany też jako Paper Werewolf) to aktor obserwowany co najmniej od 2022 r., ukierunkowany na podmioty w Federacji Rosyjskiej. Kaspersky opisywał jego kampanie z użyciem m.in. złośliwych załączników phishingowych i zmian w narzędziach na przestrzeni lat (np. wcześniejsze komponenty typu Owowa oraz późniejsze schematy dystrybucji).

W 2024 r. (wg Kaspersky) grupa wprowadzała nowe implanty i odchodziła od wcześniejszych komponentów na rzecz innych technik w ekosystemie ataku. Taki „ciągły ruch” w TTP jest typowy dla zespołów, które:

  • mają jeden geograficzny/branżowy fokus,
  • testują nowe metody wejścia (np. inne formaty plików),
  • próbują ominąć zmiany w zabezpieczeniach endpointów i poczty.

Na tym tle XLL jako nośnik wygląda jak logiczny krok: organizacje często zaostrzają polityki makr, ale dodatki DLL-owe wciąż bywają gorzej „obudowane” kontrolami.


Analiza techniczna / szczegóły luki

1) Wejście: XLL jako dodatek Excela

W kampanii opisanej przez Intezer próbki XLL trafiły m.in. do VirusTotal w końcówce października 2025 r.
XLL to DLL ładowany przez Excel, zwykle z eksportami typu xlAutoOpen, ale tu ciekawostka: logika nie była klasycznie „przywiązana” do standardowego xlAutoOpen. Intezer opisuje uruchomienie poprzez zachowanie w DllMain i opóźnienie wykonania do zdarzenia związanego z zakończeniem wątku (DLL_THREAD_DETACH), co może utrudniać detekcję sandboxom i mechanizmom analizującym „early execution”.

2) Loader → dropper → uruchomienie payloadu

Intezer wskazuje, że loader zrzuca plik jako mswp.exe w ścieżce %APPDATA%\Microsoft\Windows, a następnie uruchamia go w trybie ukrytym (CREATE_NO_WINDOW) i przechwytuje stdout/stderr przez pipe’y.

3) EchoGather: co robi backdoor

EchoGather (64-bit) ma twardo zaszytą konfigurację i łączy się z C2 przez HTTP(S) z użyciem WinHTTP. Zbiera m.in. adresy IPv4, nazwę hosta (NetBIOS), użytkownika, domenę stacji, PID i ścieżkę binarki; dane koduje Base64 i wysyła w pętli z losowym opóźnieniem rzędu kilku minut.

C2/„maskowanie ruchem”: w analizowanej próbce adres C2 był zbudowany tak, by ścieżka wyglądała jak elementy serwisu dostaw (np. „dostavka/…/sushi/…/msk/…”). To dokładnie ten typ kamuflażu, który potrafi „zginąć” w proxy logach, jeśli organizacja nie ma dobrego profilowania ruchu wychodzącego.

Komendy: Intezer opisuje cztery kategorie poleceń, w tym:

  • zdalne wykonanie komend (uruchamiane przez cmd.exe /C …),
  • zwrot konfiguracji,
  • eksfiltrację plików porcjowaną w chunki,
  • zdalny zapis pliku na maszynie ofiary.

4) Przynęty (decoy) i wątek „AI-generated”

W infrastrukturze powiązanej z kampanią znaleziono skrypty PowerShell dekodujące dwie „porcje” Base64: PDF-wabik i payload EchoGather. PDF był opisany jako zaproszenie na koncert dla „wysokich rangą” oficerów, ale zawierał znamiona sztucznej generacji: błędy literowe w cyrylicy, literówki oraz nieudolną imitację godła (dwugłowego orła).

Reuters zwraca uwagę, że to dobry przykład, jak dostępne narzędzia AI mogą pomagać w skalowaniu tworzenia dokumentów-wabików (nawet jeśli nadal da się je czasem „wyczuć” po jakości).

5) Alternatywny łańcuch: WinRAR i CVE-2025-8088

Intezer opisuje też pivot na domenę, który doprowadził do archiwum RAR wykorzystującego podatność oznaczoną jako CVE-2025-8088: nadużycie NTFS ADS + path traversal, pozwalające na zapis w nieoczekiwanych lokalizacjach (np. elementy Startup). W łańcuchu pojawiają się m.in. pliki LNK uruchamiające BAT i finalnie PowerShell pobierający skrypt z serwera zewnętrznego, który znów wypakowuje PDF + EchoGather.


Praktyczne konsekwencje / ryzyko

Dla organizacji kluczowe ryzyka są trzy:

  1. Ciche rozpoznanie + wyciek danych: EchoGather jest nastawiony na rekonesans i transfer plików, czyli klasyczny profil cyber-szpiegowski.
  2. Elastyczność operacyjna atakującego: zdalne komendy i zdalny zapis plików to „pomost” do dalszej eskalacji, doinstalowania narzędzi, ruchu bocznego i dłuższej obecności w sieci.
  3. Ryzyko łańcucha dostaw/produkcji (w sektorach obronnych i high-tech): Reuters wskazuje, że cele sugerują zainteresowanie wglądem w produkcję, łańcuch dostaw i R&D.

Nawet jeśli Twoja organizacja nie jest w „docelowej geografii”, ten case jest ważny, bo pokazuje dwa trendy, które łatwo przenoszą się na inne kampanie: XLL jako nośnik i „AI-wabiki”.


Rekomendacje operacyjne / co zrobić teraz

Szybkie działania (24–72h)

  • Zablokuj/ogranicz przyjmowanie XLL w poczcie (gateway) i w systemach wymiany plików; dodaj kontrolę również dla archiwów RAR zawierających LNK/BAT/PS1.
  • Hunt na endpointach:
    • Excel uruchamia nietypowe procesy potomne (np. mswp.exe, cmd.exe, powershell.exe) i to jeszcze z lokalizacji użytkownika/AppData,
    • obecność mswp.exe w %APPDATA%\Microsoft\Windows,
    • ruch wychodzący HTTP(S) do domen/ścieżek wyglądających „dziwnie tematycznie” (np. „dostavka/…/sushi/…”) oraz beaconing co ~5–6 minut.
  • Aktualizacje/patching: jeśli w środowisku jest WinRAR, zweryfikuj wersje i podatności oraz wprowadź zasadę „RAR-y tylko z zaufanych źródeł” (to często realniejszy kontrolny punkt niż próba edukowania o każdej CVE).

Utwardzenie (1–4 tygodnie)

  • ASR/EDR hardening: reguły blokujące procesy potomne Office, uruchamianie skryptów z katalogów użytkownika, oraz egzekwowanie podpisu dla wybranych typów wykonywalnych (tam, gdzie to realne operacyjnie).
  • Allowlisting (AppLocker/WDAC): ogranicz wykonywanie binarek z %APPDATA%, %TEMP% i podobnych lokalizacji użytkownika, jeżeli profil biznesowy na to pozwala.
  • Kontrola dodatków Office: polityki ograniczające ładowanie dodatków/plików wykonywalnych jako add-in oraz „mark-of-the-web”/strefy internetowe w łańcuchu dostarczania (w praktyce: sklejone z politykami przeglądarki, poczty i EDR).
  • Higiena poczty: edukacja i procedury weryfikacji załączników (adres nadawcy, oczekiwany kontekst biznesowy, potwierdzenie kanałem alternatywnym). CERT Polska dobrze opisuje praktyczne zasady obchodzenia się z podejrzanymi załącznikami.

Różnice / porównania z innymi przypadkami

Makra VBA vs XLL: makra to kod skryptowy uruchamiany w ramach silnika makr i coraz częściej blokowany politykami (np. „block macros from the internet”). XLL to natywny DLL ładowany do procesu Excela (LoadLibrary), co daje atakującemu większą swobodę i bywa trudniejsze do objęcia tymi samymi kontrolami co makra.

Ewolucja GOFFEE: Kaspersky opisywał wcześniejsze schematy dystrybucji GOFFEE oparte o phishing i różne implanty. Kampania EchoGather pokazuje „eksperymentowanie” z nowym wektorem (XLL) przy utrzymaniu starej, sprawdzonej logiki: decoy document jako zasłona dymna + uruchomienie payloadu w tle.


Podsumowanie / kluczowe wnioski

  • Ta kampania to nie tylko „phishing z PDF-em”, ale przede wszystkim praktyczny przykład przejścia na XLL jako nośnik uruchomienia kodu w środowiskach, gdzie makra są już mocno utrudnione.
  • EchoGather ma funkcjonalności typowe dla implantów szpiegowskich (rekonesans, komendy, transfer plików) i komunikuje się z C2 w sposób, który może wyglądać „normalnie” w logach bez dobrej telemetrii i profilowania ruchu.
  • Wabiki generowane (lub wspomagane) przez AI będą się pojawiać coraz częściej — nie dlatego, że są idealne, tylko dlatego, że są tanie i szybkie w produkcji.

Jeśli chcesz, mogę też przygotować krótką „sekcję SOC” do wklejenia w runbook: gotowe hipotezy huntingowe, pola do sprawdzenia w EDR/SIEM i listę priorytetowych alertów pod ten łańcuch.


Źródła / bibliografia

  1. Intezer – Tracing a Paper Werewolf campaign through AI-generated decoys and Excel XLLs (Intezer)
  2. The Record (Recorded Future News) – Cyber spies use fake New Year concert invites to target Russian military (The Record from Recorded Future)
  3. Kaspersky Securelist – GOFFEE’s recent attacks: new tools and techniques (Securelist)
  4. Reuters – Russian defense firms targeted by hackers using AI, other tactics (Reuters)
  5. CERT Polska – Uważaj na fałszywe załączniki! (cert.pl)

Ponad 115 tys. firewalli WatchGuard Firebox wciąż podatnych na aktywnie wykorzystywaną lukę RCE (CVE-2025-14733)

Wprowadzenie do problemu / definicja luki

WatchGuard potwierdził aktywne próby wykorzystania krytycznej podatności typu remote code execution (RCE) w zaporach Firebox z systemem Fireware OS. Luka ma identyfikator CVE-2025-14733, dotyczy procesu iked (Internet Key Exchange daemon) i pozwala na zdalne, nieuwierzytelnione wykonanie kodu przy spełnieniu określonych warunków konfiguracyjnych. Producent ocenia ją jako Critical (CVSS 9.3).

Skala problemu jest duża: według analiz przytaczanych w mediach branżowych, >115 tys. instancji Fireboxów wystawionych do Internetu pozostawało niezałatanych w trakcie opisywanej kampanii ataków (różne źródła podają też wyniki skanów rzędu ~125 tys. IP).


W skrócie

  • Co to jest: krytyczne RCE w Fireware OS / iked (out-of-bounds write).
  • Kiedy groźne: gdy urządzenie ma/ miało konfigurację IKEv2 VPN (Mobile User VPN IKEv2 lub BOVPN IKEv2 z dynamicznym peerem); ryzyko może utrzymywać się nawet po „wyczyszczeniu” części ustawień, jeśli pozostaje BOVPN do statycznego peera.
  • Status: WatchGuard udostępnił poprawki (m.in. 2025.1.4, 12.11.6, 12.5.15, 12.3.1 Update 4).
  • Eksploatacja: producent i media potwierdzają aktywne próby ataków „in the wild”; CISA dodała CVE do katalogu KEV.

Kontekst / historia / powiązania

To kolejny przykład trendu, w którym atakujący polują na urządzenia brzegowe (firewalle/VPN), bo są:

  • wystawione do Internetu,
  • często zarządzają „kluczowymi” tunelami i ruchem,
  • a kompromitacja daje wygodny przyczółek do dalszej penetracji sieci.

Dodatkowo WatchGuard wprost wskazuje, że obserwowane próby wykorzystania CVE-2025-14733 wpisują się w szerszą kampanię wymierzoną w infrastrukturę edge u wielu dostawców.


Analiza techniczna / szczegóły luki

Mechanizm

CVE-2025-14733 to out-of-bounds write w procesie iked Fireware OS, co może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia.

Zakres wersji podatnych (wg producenta)

Podatne są wersje Fireware OS:

  • 11.10.2 – 11.12.4_Update1
  • 12.0 – 12.11.5
  • 2025.1 – 2025.1.3

Warunek „czy mój Firebox jest realnie narażony?”

Kluczowy niuans: WatchGuard wyjaśnia, że urządzenia są podatne na atak tylko wtedy, gdy w grę wchodzi konfiguracja IKEv2 VPN (Mobile User VPN IKEv2 lub BOVPN IKEv2 z dynamicznym gateway peer). Co więcej, nawet jeśli część konfiguracji została usunięta, urządzenie może nadal pozostać w ryzyku, gdy nadal istnieje BOVPN do statycznego peera.

IoA (Indicators of Attack) i objawy

WatchGuard opublikował Indicators of Attack pomocne w detekcji prób eksploatacji/kompromitacji, m.in.:

  • IP-y powiązane z aktywnością atakujących (producent rozróżnia znaczenie połączeń outbound vs inbound),
  • logi sugerujące nietypowe zachowanie IKEv2 (np. nietypowo długi łańcuch certyfikatów / ponadnormatywnie duży payload CERT),
  • symptomy na urządzeniu: zawieszenie lub crash iked, co może zrywać negocjacje/re-key tuneli.

Praktyczne konsekwencje / ryzyko

Jeśli atak się powiedzie, skutki typowe dla przejęcia firewalla/VPN są bardzo poważne:

  • pełne przejęcie urządzenia brzegowego i ruchu,
  • możliwość pivotu do sieci wewnętrznej (AD, serwery plików, backupy),
  • podsłuch/ingerencja w tunele, podstawienie reguł, trwałość dostępu,
  • ryzyko incydentu ransomware lub eksfiltracji danych.

Ryzyko jest podbite przez fakt, że skany Internetu wskazują dziesiątki/ponad sto tysięcy potencjalnie podatnych instancji, a luka jest łączona z aktywną eksploatacją.


Rekomendacje operacyjne / co zrobić teraz

1) Patch natychmiast (priorytet P0)

WatchGuard udostępnił poprawione wersje, m.in.:

  • Fireware 2025.1.4+
  • Fireware 12.11.6+
  • Fireware 12.5.15+
  • Fireware 12.3.1 Update 4+

Uwaga: media wskazują, że Fireware 11.x jest EoL i może nie otrzymać poprawek — w takim przypadku realnie wchodzi w grę upgrade sprzętu/wersji albo odcięcie ekspozycji/usługi.

2) Ustal ekspozycję i warunki podatności

  • Sprawdź, czy na urządzeniu jest (lub była) konfiguracja IKEv2 VPN (Mobile User VPN IKEv2, BOVPN IKEv2 z dynamic gateway peer).
  • Zweryfikuj, czy nie pozostały elementy, które utrzymują ryzyko (np. BOVPN do statycznego peera).

3) Detekcja i hunting (krótkoterminowo)

  • Monitoruj IoA od WatchGuard: podejrzane IP, wskazane wzorce logów, objawy zawieszeń/crashy iked.
  • Jeżeli widzisz symptomy kompromitacji: traktuj urządzenie jak potencjalnie przejęte.

4) Rotacja sekretów po incydencie

WatchGuard rekomenduje rotację lokalnie przechowywanych sekretów na podatnych firewallach, jeśli wykryto oznaki złośliwej aktywności. W praktyce obejmuje to co najmniej: klucze/pre-shared keys, hasła kont lokalnych, certyfikaty/klucze prywatne używane przez VPN (w zależności od wdrożenia).

5) Minimalizacja powierzchni ataku (dobre praktyki)

Niezależnie od patchowania:

  • ogranicz wystawienie usług VPN do niezbędnych adresów (ACL, geo, allowlist),
  • chroń interfejsy zarządzania (MFA, dostęp tylko z sieci administracyjnych),
  • zbieraj logi z urządzeń brzegowych do SIEM i ustaw alerty na anomalie w IKEv2.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

BleepingComputer zwraca uwagę na podobieństwo do wcześniejszej luki w Fireboxach (CVE-2025-9242), co praktycznie oznacza dwie lekcje:

  1. IKE/IPsec na brzegu pozostaje „gorącą” powierzchnią ataku,
  2. po publikacji poprawek okno czasowe do masowego skanowania i prób eksploatacji bywa bardzo krótkie — dlatego proces patchowania urządzeń edge powinien działać w trybie „emergency change”.

Podsumowanie / kluczowe wnioski

  • CVE-2025-14733 to krytyczne, aktywnie wykorzystywane RCE w WatchGuard Firebox / Fireware OS (iked).
  • Najważniejszy krok to natychmiastowa aktualizacja do wersji zawierających fix (np. 2025.1.4 / 12.11.6 / 12.5.15 / 12.3.1 Update 4).
  • Równolegle trzeba wykonać weryfikację konfiguracji IKEv2 i przeprowadzić hunting po IoA oraz symptomach iked.
  • W środowiskach na EoL realnym remedium może być upgrade/ wymiana lub zdecydowane ograniczenie ekspozycji usług.

Źródła / bibliografia

  1. WatchGuard PSIRT Advisory: WGSA-2025-00027 (CVE-2025-14733) (watchguard.com)
  2. WatchGuard Blog: dostępne wersje Fireware 2025.1.4 / 12.11.6 / 12.5.15 / 12.3.1 Update 4 (watchguard.com)
  3. BleepingComputer: „Critical RCE flaw impacts over 115,000 WatchGuard firewalls” (BleepingComputer)
  4. SecurityWeek: „WatchGuard Patches Firebox Zero-Day Exploited in the Wild” (SecurityWeek)
  5. CISA: Known Exploited Vulnerabilities Catalog (wpis dla CVE-2025-14733) (cisa.gov)

Polskie Konferencje Security 2026

Lista konferencji cybersecurity i IT 2026: założenia zestawienia

W cybersecurity łatwo wpaść w tryb „muszę być wszędzie”, bo każda konferencja obiecuje świeże trendy, nowe zagrożenia i wiedzę, której rzekomo nie da się zdobyć inaczej. Prawda jest prostsza: większość wartości bierze się z kilku dobrze dobranych wydarzeń, resztę można ogarnąć selektywnie.

Czytaj dalej „Polskie Konferencje Security 2026”

CISA/NSA/Cyber Centre: aktualizacja raportu o backdoorze BRICKSTORM (19.12.2025) – co oznacza dla vSphere i Windows

Wprowadzenie do problemu / definicja luki

BRICKSTORM to zaawansowany backdoor wykorzystywany do długotrwałej obecności (long-term persistence) w sieciach ofiar – ze szczególnym naciskiem na warstwę wirtualizacji VMware vSphere (vCenter/ESXi) oraz wybrane komponenty środowisk Windows. W grudniu 2025 r. CISA, NSA i kanadyjskie Cyber Centre zaktualizowały raport analityczny, rozszerzając go o nowe wskaźniki kompromitacji (IoC) i sygnatury detekcyjne dla kolejnych próbek.

To nie jest „zwykły trojan na stacji roboczej”. W tym przypadku zagrożenie dotyka płaszczyzny zarządzania (control plane) – a więc elementów, które często mają najwyższe uprawnienia i jednocześnie bywają najsłabiej monitorowane.


W skrócie

  • Autorzy raportu (CISA/NSA/Cyber Centre) oceniają, że BRICKSTORM jest używany przez państwowych aktorów z ChRL do utrzymywania trwałego dostępu do systemów ofiar.
  • Aktualizacja z 19.12.2025 dodaje IoC i sygnatury dla trzech dodatkowych próbek (łącznie analizowano 11).
  • BRICKSTORM występuje jako ELF (środowiska linuksowe/appliance; m.in. komponenty vSphere) i jest implementowany w Go oraz Rust.
  • W opisywanym incydencie napastnicy utrzymali dostęp od co najmniej kwietnia 2024 do co najmniej 3 września 2025, m.in. poprzez vCenter, a także przejęli kontrolery domeny i serwer ADFS, eksportując klucze kryptograficzne.

Kontekst / historia / powiązania

Wspólny komunikat USA–Kanada podkreśla, że aktywność była obserwowana przede wszystkim w sektorze government oraz IT, a wektorem zainteresowania są środowiska VMware vSphere.

W szerszym krajobrazie zagrożeń BRICKSTORM wpisuje się w trend działań, w których grupy powiązane z Chinami preferują implanty działające na urządzeniach/appliance’ach i serwerach infrastrukturalnych, często poza zasięgiem klasycznych agentów EDR. Google Threat Intelligence opisywał BRICKSTORM jako backdoor wykorzystywany w długotrwałym cyberszpiegostwie, z naciskiem na platformy, gdzie tradycyjna telemetria bywa ograniczona.

Dodatkowo, doniesienia medialne (na bazie informacji instytucji rządowych) łączą ten typ aktywności z ryzykiem nie tylko szpiegostwa, ale też potencjalnego przygotowania dostępu „na przyszłość”.


Analiza techniczna / szczegóły luki

Co wiemy o mechanice BRICKSTORM (na podstawie raportu analitycznego)

Raport AR25-338A opisuje BRICKSTORM jako backdoor nastawiony na inicjację, trwałość i bezpieczny C2. W próbkach zaobserwowano m.in. mechanizmy „self-watching” – malware potrafi odtwarzać się / restartować, jeśli zostanie zakłócone.

W części dotyczącej inicjacji widać charakterystyczny przepływ: jeśli BRICKSTORM nie działa z oczekiwanej ścieżki, potrafi się skopiować w docelowe miejsce, zmodyfikować zmienne środowiskowe (np. PATH), uruchomić skopiowaną wersję, a następnie zakończyć proces rodzica. To zachowanie utrudnia analizę „na gorąco” i sprzyja przetrwaniu w środowisku.

W raporcie pojawiają się też przykłady lokalizacji i nazw plików, które mogą imitować elementy systemowe/produktowe (np. katalogi powiązane z VMware oraz binaria o nazwach wyglądających „technicznie” jak vmware-sphere, updatemgr, vami).

C2 i „maskowanie” ruchu

BRICKSTORM ma komunikować się z infrastrukturą C2 z użyciem warstw kryptograficznych i protokołów, które mogą upodabniać ruch do legalnego (np. HTTPS i WebSockets). Raport wskazuje też na techniki utrudniające wykrycie na poziomie sieci.

Detekcja: YARA i Sigma (to ważna część aktualizacji)

AR25-338A zawiera reguły YARA oraz odniesienia do reguł Sigma przygotowanych do polowania na artefakty BRICKSTORM. W praktyce oznacza to możliwość szybkiego wdrożenia detekcji zarówno w pipeline’ach do analizy plików (YARA), jak i w logach/SIEM (Sigma).

Co wnosi aktualizacja z 19.12.2025

W aneksie „Dec. 19, 2025 Updates” autorzy wskazują, że przeanalizowano trzy dodatkowe próbki (Samples 9–11) pozyskane od zaufanej strony trzeciej, uzupełniając raport o dodatkowe metadane i sygnatury.


Praktyczne konsekwencje / ryzyko

Największe ryzyko nie wynika wyłącznie z samego backdoora, ale z miejsca jego osadzenia:

  • vCenter/ESXi jako „punkt dominacji”: przejęcie warstwy wirtualizacji daje wpływ na wiele systemów jednocześnie – w tym na kopie maszyn, snapshoty i sieć wirtualną.
  • Kradzież poświadczeń przez snapshoty/klony: raport ostrzega, że mając dostęp do konsoli vCenter, aktorzy mogą pozyskiwać snapshoty/klony VM do ekstrakcji credentiali.
  • Ukryte „rogue VM”: w raporcie opisano możliwość tworzenia maszyn ukrytych przed konsolą zarządzania, co komplikuje inwentaryzację i monitoring.
  • Tożsamość jako cel (ADFS): opis incydentu obejmuje kompromitację ADFS i eksport kluczy kryptograficznych – to scenariusz, który może umożliwić dalsze nadużycia tożsamości (np. w federacji).

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „SOC/IR-ready”, ułożony tak, żeby dało się go wykonać bez czekania na pełną analizę:

A. Detekcja i hunting (pierwsze 24–48h)

  1. Wdróż IoC i sygnatury z AR25-338A (w tym aktualizację z 19.12.2025) w SIEM/NDR/EDR oraz narzędziach do skanowania plików.
  2. Uruchom reguły YARA/Sigma z raportu w środowiskach, gdzie masz telemetrię (repozytoria artefaktów, sandbox, EDR file scanning, pipeline’y DFIR).
  3. Skup się na vCenter/ESXi: przegląd nietypowych binariów/uruchomień, kontrola anomalii w ruchu wychodzącym (HTTPS/WebSockets), analiza procesów/usług. (W raporcie opisano mechanizmy inicjacji i kopiowania, które warto mapować na własne logi).

B. Ograniczenie skutków i odzyskanie kontroli

  1. Jeśli wykryjesz oznaki BRICKSTORM lub powiązanej aktywności: traktuj to jako incydent wysokiej wagi i uruchom procedury IR (izolacja, akwizycja artefaktów, ustalenie osi czasu).
  2. Zweryfikuj integralność i tożsamość: w szczególności komponenty AD/ADFS (rotacja kluczy i poświadczeń zależy od Twoich procedur, ale w opisywanym scenariuszu atakujący eksportowali klucze).
  3. Kontrola „rogue VM” i snapshotów: przeprowadź przegląd nietypowych snapshotów/klonów i maszyn, które mogły zostać utworzone poza standardowym procesem.

C. Działania długofalowe (hardening)

  1. Zwiększ widoczność na warstwę wirtualizacji: logowanie, alerty anomalii dla vCenter/ESXi, kontrola dostępu administracyjnego, segmentacja i ograniczenie egress z komponentów zarządzających. (Raport wskazuje, że to właśnie ta warstwa jest atrakcyjnym „przyczółkiem”).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu do typowych kampanii malware na endpointach, BRICKSTORM jest groźny z dwóch powodów:

  • „Atak na control plane” zamiast na stacje robocze: kompromitacja vCenter/ESXi daje „efekt dźwigni” na wiele systemów naraz i potrafi omijać część kontroli działających na maszynach wirtualnych.
  • Preferencja dla platform o słabszej telemetrii: Google GTIG zwraca uwagę, że takie implanty często są dobierane tak, by działać na systemach/appliance’ach, gdzie klasyczne EDR-y nie są standardem.

Podsumowanie / kluczowe wnioski

Aktualizacja raportu z 19 grudnia 2025 r. to sygnał, że BRICKSTORM jest aktywnie rozwijany i pojawiają się nowe warianty oraz nowe dane detekcyjne (kolejne próbki i IoC).

Jeżeli Twoja organizacja korzysta z VMware vSphere (szczególnie vCenter/ESXi) i ma krytyczne zależności od AD/ADFS, potraktuj temat priorytetowo: wdrożenie reguł YARA/Sigma, polowanie na artefakty w warstwie wirtualizacji oraz przegląd integralności tożsamości to zestaw działań, który realnie redukuje ryzyko.


Źródła / bibliografia

  • CISA / NSA / Canadian Centre for Cyber Security – Malware Analysis Report AR25-338A: BRICKSTORM Backdoor (z aktualizacją 19.12.2025) (U.S. Department of War)
  • NSA – komunikat o BRICKSTORM i rekomendacji użycia IoC/sygnatur (nsa.gov)
  • Canadian Centre for Cyber Security – omówienie wspólnego raportu i kontekstu vSphere (Canadian Centre for Cyber Security)
  • Google Threat Intelligence – kontekst kampanii i charakterystyka BRICKSTORM/UNC5221 (Google Cloud)
  • Reuters – kontekst medialny i ryzyko długotrwałego dostępu (Reuters)

Zmasowane ataki password spraying na bramy VPN Cisco i Palo Alto (GlobalProtect)

Wprowadzenie do problemu / definicja luki

W połowie grudnia 2025 r. GreyNoise odnotował skoordynowaną kampanię automatycznych prób logowania (password spraying / credential stuffing) wymierzoną w bramy uwierzytelniania VPN dwóch producentów: Palo Alto Networks GlobalProtect oraz Cisco SSL VPN. Wnioski badaczy i doniesienia prasowe potwierdzają, że mamy do czynienia z falą zautomatyzowanych żądań logowania, a nie z wykorzystaniem konkretnej podatności w samym oprogramowaniu VPN.

W skrócie

  • Skala: ~1,7 mln sesji w ciągu 16 godzin przeciwko portalom GlobalProtect (11 grudnia), z ponad 10 tys. unikalnych adresów IP. Następnego dnia wzrost prób na Cisco SSL VPN do 1 273 unikalnych IP (znacznie powyżej typowej bazowej <200).
  • Infrastruktura sprawców: niemal cały ruch pochodził z zakresów 3xK GmbH (Niemcy); spójny odcisk TCP i identyczne wzorce ruchu wskazują na jedną kampanię pivotującą między platformami VPN.
  • Technika: powtarzalne kombinacje login/hasło, jednolity user-agent (Firefox / Windows 10), prawidłowe przepływy uwierzytelniania (w tym CSRF), co potwierdza automatyzację i brak exploitów.
  • To NIE jest AsyncOS 0-day: GreyNoise nie widzi związku z ujawnioną 17 grudnia kampanią na urządzenia Cisco Secure Email Gateway/SEWM (CVE-2025-20393).

Kontekst / historia / powiązania

Skoki ruchu na GlobalProtect obserwowano już wcześniej — m.in. 14–20 listopada (2,3 mln sesji skanowania) oraz 2 grudnia (7 000+ IP), przy czym w obu przypadkach źródłem była ta sama infrastruktura 3xK GmbH. Obecna fala z 11–12 grudnia wpisuje się w tę sekwencję i wygląda na kontynuację/inwentaryzację na większą skalę.

Analiza techniczna / szczegóły luki

  • Wejście: Publicznie dostępne portale uwierzytelniania GlobalProtect oraz Cisco SSL VPN.
  • Łańcuch żądania: żądania HTTP na endpointy logowania, obsługa tokenów CSRF, parametry login/password, silnie powtarzalne nagłówki i treści. Dla Cisco dominujący UA: Mozilla/5.0 (Windows NT 10.0; Win64; x64); dla Palo Alto częsty UA Firefox — oba nietypowe dla zwykłych skanerów tego operatora.
  • TTPs:
    • Password spraying / credential stuffing z użyciem puli standardowych/wyciekłych haseł.
    • Jednolita sygnatura TCP/JA4t i ta sama przestrzeń IP → wysoka spójność narzędziowa.
    • Pivot: po fali na GlobalProtect szybkie przełączenie na Cisco SSL VPN (w 24 h).
  • Brak oznak exploitów zero-day/n-day na bramach VPN; żądania imitują legalną ścieżkę logowania.

Praktyczne konsekwencje / ryzyko

  • Ryzyko przejęcia konta (zwłaszcza kont bez MFA, kont serwisowych, starszych kont SSO, kont z recyklingiem haseł).
  • Ryzyko DoS logicznego (lockouty i „wybicie” okienka logowania przy masowych próbach).
  • Ryzyko eskalacji: po jednorazowym wejściu przez VPN możliwe przełamanie segmentacji i lateral movement.
  • Fałszywe poczucie bezpieczeństwa: brak CVE ≠ brak incydentu — to kampania uwierzytelnieniowa, a nie exploitowa. Doniesienia branżowe i prasowe zgodnie to podkreślają.

Rekomendacje operacyjne / co zrobić teraz

Priorytet — edge & tożsamość:

  1. Wymuś MFA (najlepiej phishing-resistant: FIDO2/Passkeys, WebAuthn) na portalach VPN/SSO; wyłącz fallbacki SMS/TOTP tam, gdzie to możliwe.
  2. Blokuj źródła znane z kampanii (zakresy 3xK GmbH i konkretne IP z list GreyNoise; aktualne bloki/„tags” są publikowane przez GN).
  3. Twarde polityki haseł + sprawdzanie przeciw wyciekom (HIBP/CrackStation, itp.), rotation tylko ryzyko-based, zakaz recyklingu.
  4. Ogranicz powierzchnię:
    • dostęp do portali wyłącznie z zaufanych AS/geo/VPN klienta (geo-fencing, allow-list),
    • CAPTCHA / rate-limiting / tar-pit na formularzach logowania,
    • ukryj portale za IdP z federation only i conditional access.
  5. Monitoring i detekcja:
    • reguły UEBA/behavioral na anomalne login bursts i UA fingerprint opisany przez GN,
    • alerty na wiele nieudanych logowań z wielu IP do jednego konta,
    • korelacja z logami GlobalProtect/Cisco SSL VPN i SIEM.
  6. Higiena kont: wyłącz/stale audytuj konta serwisowe, narzuć MFA i długie hasła; minimalizuj scope i privs.
  7. Playbook IR: gotowe runbooki blokad, wymuszenia resetów po próbach spraying, komunikacja do użytkowników.
  8. Oddzielny wątek: AsyncOS (CVE-2025-20393) — jeśli masz Cisco SEG/SEWM, zastosuj tymczasowe obejścia i zalecenia Cisco, bo to niezależna, aktywnie wykorzystywana 0-day na inny produkt.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Obecna kampania (VPN): zautomatyzowane loginy bez exploitów; cel — odkryć słabe hasła/konta bez MFA w GlobalProtect/Cisco SSL VPN.
  • AsyncOS 0-day (CVE-2025-20393): wykorzystywana luka RCE z persystencją (AquaShell/AquaTunnel/Chisel) na Secure Email Gateway/SEWM, wymagająca specyficznej konfiguracji (Spam Quarantine wystawione do Internetu). Inny wektor, inne systemy.

Podsumowanie / kluczowe wnioski

Ataki na warstwę uwierzytelniania bram VPN znów przyspieszyły — tym razem w formie skoordynowanej kampanii, która w 24 godziny przestawiła się z GlobalProtect na Cisco SSL VPN. Nie potrzebujesz CVE, by zostać zhakowanym: MFA, polityki haseł, geofencing i monitoring to dziś „must-have” na brzegu sieci. Jednocześnie nie mylmy tej fali z incydentami wokół AsyncOS — to dwa różne problemy, oba wymagające działania.

Źródła / bibliografia

  • GreyNoise: „Coordinated Credential-Based Campaign Targets Cisco and Palo Alto Networks VPN Gateways”, 17 grudnia 2025. (GreyNoise)
  • BleepingComputer: „New password spraying attacks target Cisco, PAN VPN gateways”, 18 grudnia 2025. (BleepingComputer)
  • Cisco Security Advisory: „Reports About Cyberattacks Against Cisco Secure Email and Web Manager” (CVE-2025-20393), 17 grudnia 2025. (Cisco)
  • Cisco Talos: „UAT-9686 actively targets Cisco Secure Email Gateway and Secure Email and Web Manager”, 17 grudnia 2025. (Cisco Talos Blog)
  • Cybersecurity Dive: „Surge of credential-based hacking targets Palo Alto Networks GlobalProtect portals…”, 18 grudnia 2025. (Cybersecurity Dive)