Archiwa: SIEM - Strona 9 z 48 - Security Bez Tabu

Tag: SIEM

CISA dodaje lukę TrueConf Client CVE-2026-3502 do katalogu KEV po potwierdzeniu aktywnego wykorzystania

Cybersecurity news

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA dodała podatność CVE-2026-3502 w aplikacji TrueConf Client do katalogu Known Exploited Vulnerabilities, potwierdzając jej aktywne wykorzystanie w rzeczywistych atakach. Luka dotyczy mechanizmu aktualizacji klienta i umożliwia dostarczenie złośliwego pakietu aktualizacyjnego bez właściwej weryfikacji jego integralności oraz autentyczności.

To klasyczny przykład zagrożenia dla łańcucha dostaw oprogramowania. Zamiast atakować użytkownika bezpośrednio, napastnik wykorzystuje zaufany proces aktualizacji, aby uruchomić arbitralny kod na stacji roboczej ofiary.

W skrócie

  • CVE-2026-3502 otrzymała ocenę 7.8 w skali CVSS.
  • Podatność została dodana do katalogu CISA KEV z powodu potwierdzonego aktywnego wykorzystania.
  • Ataki miały wykorzystywać złośliwe aktualizacje do wdrażania frameworka Havoc.
  • Kampania była wymierzona m.in. w podmioty rządowe.
  • Federalne agencje otrzymały termin remediacji do 16 kwietnia 2026 roku.

Kontekst / historia

TrueConf to platforma komunikacyjna używana tam, gdzie istotne są lokalne wdrożenia, kontrola nad danymi oraz możliwość działania w środowiskach ograniczonych lub odizolowanych od internetu. Z tego względu rozwiązanie może być szczególnie atrakcyjne dla administracji publicznej, sektora obronnego oraz organizacji zarządzających infrastrukturą krytyczną.

Taki model wdrożenia ma jednak swoją cenę. Jeżeli napastnik przejmie kontrolę nad lokalnym serwerem aktualizacji lub innym zaufanym elementem infrastruktury, może rozprowadzić złośliwe oprogramowanie do wielu systemów końcowych jednocześnie. W obserwowanej kampanii badacze powiązali działania z operacją cyberszpiegowską opisaną jako TrueChaos, ukierunkowaną na podmioty rządowe w Azji Południowo-Wschodniej.

Analiza techniczna

Rdzeń problemu tkwi w błędnym modelu zaufania procesu aktualizacji. Klient TrueConf sprawdzał dostępność nowszej wersji i pobierał pakiet aktualizacyjny, ale w podatnych wydaniach brakowało skutecznego mechanizmu weryfikacji, czy plik pochodzi z zaufanego źródła i nie został zmodyfikowany.

W praktyce oznacza to, że napastnik posiadający możliwość manipulowania źródłem aktualizacji mógł podstawić uzbrojony pakiet i doprowadzić do jego uruchomienia na urządzeniu ofiary. To znacząco upraszcza operację ofensywną, ponieważ zamiast kompromitować każdy endpoint osobno, można wykorzystać centralny punkt dystrybucji oprogramowania.

Z opublikowanych analiz wynika, że złośliwe aktualizacje były wykorzystywane do wdrażania frameworka Havoc, używanego do utrzymywania dostępu, komunikacji z serwerem C2, rekonesansu i dalszej eksploatacji środowiska. Badacze wskazywali również na wykorzystanie DLL sideloadingu oraz działań typu hands-on-keyboard po uzyskaniu dostępu.

Szczególnie istotne jest to, że podatność została naprawiona w nowszej wersji klienta dla systemu Windows. Organizacje korzystające z wersji 8.5.2 i starszych powinny traktować swoje środowiska jako potencjalnie narażone, jeśli nie przeprowadzono aktualizacji i nie zweryfikowano integralności procesu wdrożenia poprawki.

Konsekwencje / ryzyko

Ryzyko związane z CVE-2026-3502 nie ogranicza się do pojedynczej stacji roboczej. W środowiskach on-premises skutkiem może być jednoczesna kompromitacja wielu klientów korzystających z tego samego źródła aktualizacji. To tworzy warunki do cichej, szerokiej dystrybucji malware’u bez konieczności prowadzenia klasycznych kampanii phishingowych.

Dla organizacji publicznych i podmiotów o wysokich wymaganiach bezpieczeństwa szczególnie niebezpieczne są trzy elementy: wykorzystanie zaufanego kanału aktualizacji, możliwość długotrwałej obecności przeciwnika w sieci oraz utrudnione wykrycie incydentu. Z perspektywy telemetrii wiele działań może bowiem wyglądać jak normalny proces administracyjny.

W praktyce konsekwencje mogą obejmować przejęcie kontroli nad hostami, kradzież danych, ruch lateralny, utrzymanie persystencji, wdrażanie kolejnych implantów oraz utratę zaufania do wewnętrznych mechanizmów aktualizacji.

Rekomendacje

Organizacje korzystające z TrueConf powinny w pierwszej kolejności ustalić, czy w środowisku są obecne podatne wersje klienta, zwłaszcza 8.5.2 i starsze. Następnie należy niezwłocznie wdrożyć wersję naprawczą oraz potwierdzić integralność pakietów i źródeł dystrybucji.

  • Przeanalizować logi serwerów TrueConf i stacji roboczych pod kątem nietypowych aktualizacji oraz anomalii czasowych.
  • Sprawdzić hosty pod kątem artefaktów związanych z Havoc, DLL sideloadingiem, nowymi usługami i mechanizmami persystencji.
  • Zweryfikować integralność lokalnych serwerów aktualizacji i ograniczyć do nich dostęp administracyjny.
  • Wymusić podpisywanie oraz walidację aktualizacji wszędzie tam, gdzie architektura to umożliwia.
  • Segmentować systemy komunikacyjne i infrastrukturę dystrybucji oprogramowania od pozostałych zasobów krytycznych.
  • Rozszerzyć reguły EDR i SIEM o detekcję nietypowych działań wykonywanych przez aktualizatory.
  • Traktować kompromitację serwera aktualizacji jako incydent wysokiej wagi wymagający pełnego dochodzenia.

Z perspektywy strategicznej warto potraktować tę sprawę jako sygnał ostrzegawczy dla całego ekosystemu aktualizacji wewnętrznych. Nawet rozwiązania wdrażane z myślą o zwiększonej kontroli nad bezpieczeństwem mogą stać się skutecznym wektorem ataku, jeśli nie wymuszają kryptograficznej weryfikacji zaufania.

Podsumowanie

Dodanie CVE-2026-3502 do katalogu KEV potwierdza, że problem ma charakter operacyjny, a nie wyłącznie teoretyczny. Luka w mechanizmie aktualizacji TrueConf Client pokazuje, jak łatwo legalny proces utrzymaniowy może zostać przekształcony w kanał dostarczania malware’u.

Dla zespołów bezpieczeństwa to jasny sygnał, że ochrona łańcucha dostaw musi obejmować nie tylko zewnętrznych dostawców, ale też lokalne serwery aktualizacji, repozytoria pakietów i wszystkie komponenty, którym środowisko ufa domyślnie. W tym przypadku szybkie łatanie, walidacja integralności i przegląd oznak kompromitacji powinny być absolutnym priorytetem.

Źródła

  1. Security Affairs — https://securityaffairs.com/190341/security/u-s-cisa-adds-a-flaw-in-trueconf-client-to-its-known-exploited-vulnerabilities-catalog.html
  2. Check Point Research — Operation TrueChaos: TrueConf Zero-Day Supply-Chain Attack — https://blog.checkpoint.com/research/when-trusted-software-updates-become-the-attack-vector-inside-operation-truechaos-and-a-new-zero-day-vulnerability-in-a-popular-collaboration-tool/amp/
  3. CVE Details — CVE-2026-3502 — https://www.cvedetails.com/cve/CVE-2026-3502/
  4. The Hacker News — TrueConf Zero-Day Exploited in Attacks on Southeast Asian Government Networks — https://thehackernews.com/2026/03/trueconf-zero-day-exploited-in-attacks.html
  5. SecurityWeek — TrueConf Zero-Day Exploited in Asian Government Attacks — https://www.securityweek.com/trueconf-zero-day-exploited-in-asian-government-attacks/

Ataki device code phishing rosną lawinowo wraz z popularyzacją nowych zestawów phishingowych

Cybersecurity news

Wprowadzenie do problemu / definicja

Device code phishing to technika przejęcia konta oparta na nadużyciu legalnego mechanizmu OAuth 2.0 Device Authorization Grant. Rozwiązanie to zostało zaprojektowane dla urządzeń z ograniczonym interfejsem wejścia, takich jak telewizory smart, konsole, drukarki czy wybrane urządzenia IoT. W praktyce napastnik nakłania ofiarę do wpisania kodu autoryzacyjnego na prawdziwej stronie logowania, co skutkuje nadaniem dostępu urządzeniu kontrolowanemu przez atakującego.

To właśnie wykorzystanie autentycznego procesu logowania sprawia, że zagrożenie jest szczególnie niebezpieczne. Użytkownik nie zawsze widzi fałszywy formularz, nie musi podawać hasła w podejrzanym serwisie i może błędnie uznać cały proces za bezpieczny.

W skrócie

Na początku kwietnia 2026 roku badacze odnotowali gwałtowny wzrost kampanii device code phishing. Skala wykryć wzrosła ponad 37-krotnie względem wcześniejszych obserwacji, a za popularyzacją techniki odpowiadają przede wszystkim gotowe zestawy phishingowe oferowane w modelu phishing-as-a-service.

  • atak wykorzystuje legalny przepływ OAuth 2.0,
  • ofiara wpisuje kod na prawdziwej stronie logowania,
  • celem jest uzyskanie ważnych tokenów dostępowych i odświeżających,
  • nowe zestawy phishingowe znacząco obniżają próg wejścia dla cyberprzestępców,
  • kampanie często podszywają się pod usługi SaaS, dokumenty i narzędzia współpracy.

Kontekst / historia

Mechanizm device authorization jest pełnoprawnym i potrzebnym elementem ekosystemu OAuth 2.0. Umożliwia on logowanie tam, gdzie tradycyjne wpisywanie loginu i hasła byłoby niewygodne albo wręcz niemożliwe. Problem nie wynika więc z samej technologii, lecz z faktu, że proces autoryzacji jest rozdzielony pomiędzy dwa urządzenia i opiera się na zaufaniu do działań użytkownika.

Choć technika device code phishing była opisywana już wcześniej, dopiero z czasem zaczęła pojawiać się w realnych operacjach cyberprzestępczych. Obecnie zagrożenie wchodzi w fazę wyraźnej komercjalizacji. Gotowe zestawy, szablony oraz usługi wspierające kampanie sprawiają, że metoda przestaje być domeną bardziej zaawansowanych operatorów i staje się dostępna także dla mniej doświadczonych grup.

To ważna zmiana rynkowa. Gdy legalny mechanizm uwierzytelniania zostaje opakowany w łatwe do wdrożenia narzędzia phishingowe, liczba kampanii rośnie, a ich jakość operacyjna poprawia się bez konieczności budowania własnej infrastruktury od podstaw.

Analiza techniczna

Schemat ataku jest prosty, ale bardzo skuteczny. Napastnik inicjuje żądanie autoryzacji urządzenia u dostawcy tożsamości, uzyskując kod użytkownika lub urządzenia. Następnie przekazuje ten kod ofierze, zwykle pod pretekstem otwarcia dokumentu, dołączenia do spotkania, akceptacji pliku, podpisania umowy lub uzyskania dostępu do zasobu służbowego.

Ofiara otrzymuje instrukcję przejścia na legalną stronę logowania i wpisania kodu. Z perspektywy użytkownika cały proces może wyglądać wiarygodnie, ponieważ odbywa się na autentycznej domenie i bywa osadzony w realistycznym scenariuszu biznesowym. Po zatwierdzeniu procesu dostawca tożsamości wydaje tokeny umożliwiające dostęp do konta lub do określonych usług.

Kluczowa różnica względem klasycznego phishingu polega na tym, że napastnik nie musi bezpośrednio przechwycić hasła. Wystarczy, że zdobędzie ważny token sesyjny albo token odświeżający. To pozwala uzyskać dostęp do zasobów nawet wtedy, gdy użytkownik nie zauważy niczego podejrzanego podczas samej autoryzacji.

W obserwowanych kampaniach nowe zestawy phishingowe nie ograniczają się do jednego schematu socjotechnicznego. Pojawiają się różne typy przynęt, mechanizmy antybotowe, rotujące endpointy API oraz infrastruktura osadzona na legalnych platformach chmurowych. Takie podejście utrudnia wykrywanie, blokowanie oraz szybką atrybucję kampanii.

Atakujący dostosowują warstwę komunikacyjną do kontekstu ofiary. Jedne kampanie naśladują obieg dokumentów, inne odwołują się do komunikatorów, systemów HR, współdzielenia plików albo narzędzi produktywności. W efekcie device code phishing staje się coraz bardziej elastycznym narzędziem wymierzonym w środowiska Microsoft 365, tożsamość chmurową oraz federacyjne systemy logowania.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem udanego ataku jest przejęcie autoryzowanej sesji lub uzyskanie trwałego dostępu do konta poprzez wydane tokeny. W środowisku firmowym może to prowadzić nie tylko do naruszenia pojedynczej skrzynki pocztowej, ale również do rozlania incydentu na inne aplikacje i zasoby zależne od tej samej tożsamości.

  • nieautoryzowany dostęp do poczty elektronicznej,
  • przejęcie dokumentów i danych biznesowych,
  • dostęp do innych aplikacji SaaS powiązanych z kontem,
  • podszywanie się pod użytkownika w komunikacji wewnętrznej i zewnętrznej,
  • wykorzystanie konta do wtórnych kampanii phishingowych,
  • utrzymanie dostępu nawet po zmianie hasła, jeśli tokeny nie zostaną unieważnione.

Ryzyko jest wysokie również dlatego, że atak omija część intuicyjnych sygnałów ostrzegawczych kojarzonych z tradycyjnym phishingiem. Użytkownik może faktycznie znajdować się na poprawnej stronie logowania, a mimo to autoryzować działania przestępcy. To oznacza, że edukacja oparta wyłącznie na sprawdzaniu adresu strony przestaje być wystarczająca.

Z perspektywy zespołów bezpieczeństwa problemem jest także to, że aktywność napastnika może przypominać legalną autoryzację urządzenia. Jeśli organizacja nie prowadzi odpowiednio szczegółowego monitoringu logów tożsamości, wykrycie incydentu może nastąpić dopiero po eksfiltracji danych, nadużyciu poczty lub dalszych ruchach wewnątrz środowiska.

Rekomendacje

Organizacje powinny traktować device code phishing jako odrębną klasę zagrożenia w obszarze identity security. Obrona wymaga połączenia polityk technicznych, monitoringu, procedur reagowania oraz aktualizacji programów szkoleniowych dla użytkowników.

  • wyłączyć lub ograniczyć przepływ device code tam, gdzie nie jest biznesowo potrzebny,
  • wdrożyć polityki dostępu warunkowego dla procesów autoryzacji urządzeń,
  • monitorować logi pod kątem nietypowych zdarzeń związanych z device code authentication,
  • analizować anomalie obejmujące nowe lokalizacje, nietypowe adresy IP i niestandardowe sesje,
  • skracać żywotność tokenów i przygotować procedury ich szybkiego unieważniania,
  • ograniczać nadmierne uprawnienia oraz segmentować dostęp do aplikacji SaaS,
  • szkolić użytkowników, by nie wpisywali kodów autoryzacyjnych otrzymanych w nieoczekiwanych wiadomościach,
  • korelować telemetrię z IAM, poczty, CASB, EDR i SIEM,
  • przeglądać aplikacje i integracje OAuth pod kątem ryzykownych lub zbędnych połączeń.

W reakcji na incydent nie wystarczy sam reset hasła. Należy również wymusić wylogowanie użytkownika, unieważnić aktywne tokeny, przeanalizować historię logowań, sprawdzić autoryzowane aplikacje oraz ustalić, czy konto nie zostało wykorzystane do kolejnych działań phishingowych albo dostępu do poufnych danych.

Podsumowanie

Gwałtowny wzrost device code phishing pokazuje, że ochrona tożsamości staje się jednym z kluczowych obszarów nowoczesnego cyberbezpieczeństwa. Nadużycia legalnych mechanizmów OAuth są trudniejsze do wykrycia niż klasyczna kradzież poświadczeń, a komercjalizacja gotowych zestawów phishingowych dodatkowo zwiększa skalę problemu.

Dla organizacji oznacza to konieczność rozszerzenia monitoringu, zaostrzenia polityk dostępu i zmiany podejścia do edukacji użytkowników. W realiach rosnącej popularności phishing-as-a-service to właśnie kontrola nad procesami tożsamościowymi może decydować o tym, czy incydent zostanie zatrzymany na wczesnym etapie, czy przerodzi się w pełnoskalowe przejęcie kont i danych.

Źródła

  1. Device code phishing attacks surge 37x as new kits spread online — https://www.bleepingcomputer.com/news/security/device-code-phishing-attacks-surge-37x-as-new-kits-spread-online/
  2. EvilTokens: A new phishing-as-a-service platform abusing device code flow — https://blog.sekoia.io/eviltokens-a-new-phishing-as-a-service-platform-abusing-device-code-flow/
  3. OAuth 2.0 Device Authorization Grant (RFC 8628) — https://datatracker.ietf.org/doc/html/rfc8628
  4. Protect against device code phishing — https://pushsecurity.com/blog/protect-against-device-code-phishing/
  5. Microsoft identity platform and OAuth 2.0 device authorization grant flow — https://learn.microsoft.com/en-us/entra/identity-platform/v2-oauth2-device-code

Krytyczne luki w Progress ShareFile: pre-auth RCE zagraża wdrożeniom on-premises

Cybersecurity news

Wprowadzenie do problemu / definicja

Badacze bezpieczeństwa ostrzegają przed dwiema krytycznymi podatnościami w Progress ShareFile Storage Zones Controller, czyli komponencie wykorzystywanym do zarządzania plikami w środowiskach klienta z zachowaniem integracji z usługą ShareFile. Połączenie obu błędów może umożliwić atakującemu obejście uwierzytelnienia, a następnie zdalne wykonanie kodu bez użycia prawidłowych poświadczeń.

Problem dotyczy wdrożeń on-premises, a więc środowisk utrzymywanych bezpośrednio przez organizacje. To szczególnie istotne w firmach i instytucjach, które wykorzystują platformy wymiany plików do obsługi dokumentów o wysokiej wartości biznesowej, regulacyjnej lub operacyjnej.

W skrócie

Ujawnione luki, oznaczone jako CVE-2026-2699 oraz CVE-2026-2701, tworzą łańcuch ataku typu pre-auth RCE. Pierwsza podatność odpowiada za obejście mechanizmów uwierzytelniania, a druga umożliwia zdalne wykonanie kodu.

  • atak nie wymaga wcześniejszego logowania,
  • nie wymaga interakcji użytkownika,
  • może prowadzić do pełnej kompromitacji serwera,
  • szczególnie zagrożone są instancje wystawione do internetu.

Choć w momencie ujawnienia nie było publicznych dowodów na aktywne wykorzystywanie luk, ich charakter sprawia, że ryzyko szybkiego przygotowania exploitów przez cyberprzestępców należy uznać za bardzo wysokie.

Kontekst / historia

ShareFile od lat funkcjonuje jako platforma do bezpiecznego przechowywania i udostępniania plików w środowiskach biznesowych. Wariant Storage Zones Controller jest szczególnie atrakcyjny dla organizacji, które chcą zachować większą kontrolę nad lokalizacją danych, zgodnością regulacyjną oraz architekturą przechowywania.

Jednocześnie taki model wdrożenia oznacza, że elementy infrastruktury często są udostępniane przez internet, aby zapewnić zdalny dostęp pracownikom, partnerom i klientom. W praktyce podatności w tego typu systemach bardzo szybko stają się celem automatycznego skanowania i prób masowego wykorzystania.

Sprawa wpisuje się też w szerszy trend zagrożeń wymierzonych w rozwiązania do transferu i wymiany plików. W ostatnich latach tego rodzaju platformy były wielokrotnie wykorzystywane jako punkt wejścia do kradzieży danych, szantażu i ataków ransomware. Każda nowa krytyczna luka w tym segmencie natychmiast przyciąga uwagę operatorów złośliwych kampanii.

Analiza techniczna

Łańcuch ataku opiera się na zestawieniu dwóch niezależnych podatności. CVE-2026-2699 umożliwia obejście uwierzytelniania i dostęp do funkcji, które normalnie powinny być chronione. Następnie CVE-2026-2701 pozwala przejść od nieautoryzowanego dostępu do zdalnego wykonania kodu na podatnym serwerze.

Z perspektywy architektury bezpieczeństwa jest to scenariusz wyjątkowo groźny, ponieważ nie wymaga phishingu, przejęcia konta ani błędu po stronie użytkownika. Wystarczy sieciowy dostęp do podatnej instancji Storage Zones Controller. To oznacza, że powierzchnia ataku jest łatwa do identyfikacji, a sam proces exploitation może zostać zautomatyzowany.

Publiczne analizy wskazują, że skuteczne wykorzystanie luk może umożliwić dostęp do stron konfiguracyjnych kontrolera oraz wprowadzanie zmian w ustawieniach systemu. W zależności od uprawnień procesu aplikacji i topologii środowiska może to doprowadzić do uruchamiania dowolnych poleceń, przejęcia hosta, wdrożenia mechanizmów trwałości i dalszego ruchu bocznego w sieci organizacji.

Znaczenie ma również skala ekspozycji. Różne źródła podają odmienne liczby widocznych z internetu instancji, co wynika najpewniej z różnic metodologicznych, ale oba podejścia sugerują, że problem ma realny zasięg operacyjny i nie dotyczy wyłącznie pojedynczych środowisk testowych czy niszowych wdrożeń.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest możliwość pełnego przejęcia serwera obsługującego Storage Zones Controller. Taki incydent może skutkować kradzieżą danych przesyłanych przez platformę, manipulacją konfiguracją, instalacją web shelli oraz uzyskaniem trwałego przyczółka do dalszych działań w sieci ofiary.

Wysokie ryzyko dotyczy szczególnie organizacji, które wykorzystują ShareFile do wymiany dokumentów finansowych, prawnych, medycznych lub kontraktowych. Kompromitacja takiego systemu może oznaczać naruszenie poufności, utratę integralności danych, problemy regulacyjne oraz zakłócenie procesów biznesowych.

Nie należy też zakładać, że brak potwierdzonej kampanii aktywnego wykorzystania obniża priorytet działań. W przypadku krytycznych luk typu pre-auth RCE czas między publikacją informacji a pierwszymi próbami masowego exploitation bywa bardzo krótki, zwłaszcza gdy podatne systemy są łatwe do wykrycia z internetu.

Rekomendacje

Organizacje korzystające z Progress ShareFile Storage Zones Controller powinny w pierwszej kolejności zweryfikować wersję oprogramowania i niezwłocznie wdrożyć poprawki dostarczone przez producenta. Jeśli szybka aktualizacja nie jest możliwa, należy tymczasowo ograniczyć ekspozycję usługi do zaufanych adresów IP lub odseparować ją od publicznego internetu.

  • przeprowadzić inwentaryzację wszystkich instancji ShareFile Storage Zones Controller,
  • potwierdzić wersję oprogramowania oraz stan wdrożenia poprawek,
  • przeanalizować logi HTTP, IIS, systemowe i aplikacyjne pod kątem nietypowych żądań,
  • zweryfikować, czy nie doszło do nieautoryzowanych zmian konfiguracji,
  • sprawdzić obecność web shelli, nowych kont, zaplanowanych zadań i podejrzanych procesów,
  • ograniczyć ruch przychodzący do interfejsów administracyjnych,
  • wdrożyć dodatkowe reguły detekcyjne na poziomie WAF, IDS/IPS i SIEM.

Z perspektywy strategicznej incydent po raz kolejny pokazuje, że systemy transferu plików i bramki danych powinny być traktowane jako zasoby wysokiego ryzyka. Oznacza to potrzebę krótkich cykli aktualizacji, ciągłego monitorowania ekspozycji internetowej, segmentacji sieci oraz bieżącej analizy sygnałów wskazujących na exploitation.

Podsumowanie

Luki CVE-2026-2699 i CVE-2026-2701 w Progress ShareFile Storage Zones Controller stanowią krytyczny łańcuch podatności, który może umożliwić zdalne wykonanie kodu bez uwierzytelnienia. Problem dotyczy komponentu o dużym znaczeniu operacyjnym i potencjalnie szerokiej ekspozycji internetowej, dlatego poziom ryzyka należy uznać za wysoki.

Dla zespołów bezpieczeństwa priorytetem powinno być szybkie wdrożenie poprawek, ograniczenie powierzchni ataku oraz retrospektywna analiza logów i konfiguracji. Nawet jeśli aktywne wykorzystanie nie zostało jeszcze publicznie potwierdzone, zwłoka w reakcji może znacząco zwiększyć prawdopodobieństwo kompromitacji.

Źródła

  1. Cybersecurity Dive – Researchers warn of critical flaws in Progress ShareFile
    https://www.cybersecuritydive.com/news/researchers-critical-flaws-progress-sharefile/
  2. watchTowr Labs – Progress ShareFile Storage Zone Controller Pre-Authentication Remote Code Execution (CVE-2026-2699, CVE-2026-2701)
    https://watchtowr.com/resources/progress-sharefile-storage-zone-controller-pre-auth-rce-cve-2026-2699-cve-2026-2701/
  3. CVE.org – CVE-2026-2701
    https://www.cve.org/CVERecord?id=CVE-2026-2701
  4. Tenable – CVE-2026-2699
    https://www.tenable.com/cve/CVE-2026-2699
  5. ShareFile Documentation – Storage zones controller 6.x
    https://docs.sharefile.com/en-us/storage-zones-controller/6-0/storage-zones-controller-6.x.pdf

Handala deklaruje włamanie do izraelskiego kontraktora obronnego PSK Wind Technologies

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberataki wymierzone w podmioty działające na rzecz obronności należą do najpoważniejszych incydentów bezpieczeństwa. W takich przypadkach stawką nie są wyłącznie dane biznesowe, ale również dokumentacja techniczna, informacje o architekturze systemów, szczegóły integracji oraz materiały mogące mieć znaczenie operacyjne lub wywiadowcze.

Najnowszy przypadek dotyczy deklarowanego naruszenia izraelskiej spółki PSK Wind Technologies przez grupę Handala. To podmiot opisywany jako proirański, łączący elementy hacktywizmu, operacji wpływu oraz działań cybernetycznych ukierunkowanych na cele o wysokiej wartości strategicznej.

W skrócie

Handala poinformowała o przejęciu danych z PSK Wind Technologies, firmy specjalizującej się w rozwiązaniach inżynieryjnych i IT dla sektora obronnego oraz komunikacji krytycznej. Z opublikowanych twierdzeń wynika, że napastnicy mieli uzyskać dostęp do dokumentów związanych z systemami dowodzenia i kontroli, materiałów wewnętrznych oraz zdjęć lokalizacji.

W chwili ujawnienia sprawy brakowało publicznego, niezależnego potwierdzenia pełnej skali incydentu ze strony zaatakowanej organizacji lub izraelskich struktur wojskowych. Mimo to sam charakter deklarowanych materiałów wskazuje, że sprawa może mieć znaczenie wykraczające poza typowy wyciek danych i wpisuje się w szerszą falę cyberoperacji powiązanych z napięciami regionalnymi.

Kontekst / historia

Handala od dłuższego czasu pojawia się w doniesieniach jako grupa przedstawiająca się jako propalestyński kolektyw hacktywistyczny. Jednocześnie bywa łączona z bardziej zorganizowanym zapleczem politycznym lub quasi-państwowym, co sprawia, że jej aktywność jest analizowana nie tylko w kategoriach cyberprzestępczości, ale także operacji wpływu i wojny informacyjnej.

Atak wymierzony w PSK Wind Technologies nie jest więc incydentem oderwanym od szerszego kontekstu. Firmy wspierające sektor obronny, rozwijające systemy łączności krytycznej oraz rozwiązania klasy command and control, znajdują się dziś w centrum zainteresowania podmiotów prowadzących działania wywiadowcze, sabotażowe i psychologiczne.

Współczesne kampanie sponsorowane politycznie rzadko ograniczają się do jednorazowego zakłócenia działania organizacji. Równie istotne bywa pozyskanie materiałów, które można następnie wykorzystać do wywierania presji, kompromitowania ofiary, prowadzenia kolejnych kampanii phishingowych albo budowy narracji propagandowej wokół rzekomej słabości zabezpieczeń danego państwa lub sektora.

Analiza techniczna

Choć nie opublikowano pełnych wskaźników kompromitacji ani dokładnego przebiegu ataku, najbardziej prawdopodobny scenariusz zakłada operację wieloetapową. W praktyce mogło to oznaczać uzyskanie początkowego dostępu, eskalację uprawnień, rozpoznanie środowiska i finalnie eksfiltrację danych.

W organizacjach obsługujących sektor obronny typowe wektory wejścia obejmują spear phishing, przejęcie kont pocztowych lub VPN, nadużycie słabo chronionych usług zdalnych, błędne konfiguracje chmurowe oraz kompromitację stacji roboczych personelu technicznego. Po wejściu do środowiska napastnicy zwykle koncentrują się na wyszukaniu najbardziej wartościowych zasobów i zbudowaniu trwałego dostępu.

  • identyfikacja repozytoriów dokumentacji technicznej,
  • mapowanie segmentów sieci i zależności między systemami,
  • wyszukiwanie serwerów plików, systemów obiegu dokumentów i poczty,
  • próby przejęcia kont uprzywilejowanych,
  • przygotowanie kanałów do cichej eksfiltracji danych.

Jeżeli deklaracje Handali są wiarygodne, zakres materiałów sugeruje dostęp co najmniej do wewnętrznych zasobów projektowych lub dokumentacyjnych. W praktyce może to oznaczać ograniczony dostęp do wybranych udziałów plikowych, szerszą kompromitację systemów dokumentowych albo głębsze naruszenie środowiska administracyjnego.

Szczególnie istotna jest warstwa informacyjna tego incydentu. Publiczne ogłoszenie włamania i eksponowanie rzekomo zdobytych materiałów może być elementem operacji psychologicznej. Celem takiego działania jest nie tylko pokazanie skuteczności napastnika, ale również podważenie zaufania do bezpieczeństwa dostawców technologii dla sektora obronnego.

Konsekwencje / ryzyko

Potencjalne skutki takiego incydentu należy rozpatrywać na kilku poziomach. Po pierwsze, zagrożone mogą być informacje o wysokiej wartości operacyjnej, takie jak architektura systemów, dane integracyjne, szczegóły lokalizacji zasobów lub informacje kontaktowe pracowników i partnerów.

Po drugie, pojawia się ryzyko wtórne związane z wykorzystaniem przejętych materiałów do dalszych operacji. Dane pozyskane z jednego podmiotu mogą posłużyć do bardziej precyzyjnych ataków na klientów, integratorów, podwykonawców albo jednostki administracji publicznej współpracujące z dostawcą.

  • ujawnienie dokumentacji technicznej ułatwiającej rozpoznanie systemów,
  • kompromitacja danych personalnych pracowników i kontrahentów,
  • wykorzystanie informacji do kolejnych kampanii phishingowych,
  • osłabienie wiarygodności dostawcy wobec instytucji państwowych,
  • wzrost ryzyka sabotażu, manipulacji i dezinformacji.

Nawet jeśli incydent nie doprowadził do bezpośredniego zakłócenia działania systemów operacyjnych, sam wyciek danych dotyczących środowisk command and control może mieć wartość wywiadowczą. Informacje, które osobno wydają się niegroźne, po połączeniu mogą ujawnić topologię środowiska, procedury operacyjne, zależności integracyjne i potencjalne słabe punkty infrastruktury.

Rekomendacje

Dla organizacji z sektora obronnego i komunikacji krytycznej tego typu incydent powinien być sygnałem do przeglądu odporności na ukierunkowane kampanie. Kluczowe znaczenie ma skrócenie czasu wykrycia naruszenia oraz ograniczenie możliwości ruchu bocznego po uzyskaniu dostępu do środowiska.

  • wdrożenie silnego MFA dla poczty, VPN i kont uprzywilejowanych,
  • segmentacja sieci oraz izolacja zasobów projektowych od środowisk biurowych,
  • monitoring eksfiltracji danych i anomalii w ruchu wychodzącym,
  • zarządzanie uprawnieniami zgodnie z zasadą najmniejszych uprawnień,
  • centralizacja logów i korelacja zdarzeń w systemach SIEM,
  • regularne przeglądy ekspozycji usług zdalnych oraz podatności,
  • ochrona stacji roboczych inżynierów i administratorów z użyciem EDR lub XDR,
  • kontrola dostępu do repozytoriów dokumentacji technicznej,
  • testy odporności na spear phishing i socjotechnikę,
  • gotowe procedury reagowania na wyciek danych i operacje informacyjne.

W środowiskach o podwyższonym profilu ryzyka warto dodatkowo rozważyć wdrożenie rozwiązań DLP, PAM, mechanizmów deception oraz wydzielonych stref administracyjnych bez bezpośredniego dostępu do internetu. Istotny pozostaje także przegląd relacji z dostawcami i podwykonawcami, ponieważ to właśnie łańcuch dostaw często staje się najsłabszym ogniwem zaawansowanych kampanii.

Podsumowanie

Deklarowane włamanie do PSK Wind Technologies przez grupę Handala pokazuje, że podmioty funkcjonujące na styku hacktywizmu i operacji państwowych nadal koncentrują się na celach o wysokiej wartości strategicznej. W tym przypadku znaczenie ma nie tylko ewentualna skala wycieku, ale również charakter przejętych informacji i ich potencjalne wykorzystanie w kolejnych działaniach cybernetycznych oraz informacyjnych.

Dla sektora obronnego kluczowa lekcja pozostaje niezmienna: skuteczna ochrona nie może opierać się wyłącznie na zabezpieczeniach perymetrycznych. Potrzebne są architektury odpornościowe, stały monitoring, segmentacja, ścisła kontrola uprawnień oraz gotowość do reagowania zarówno na techniczne skutki włamania, jak i na jego konsekwencje w sferze reputacyjnej i operacyjnej.

Źródła

  1. Security Affairs — https://securityaffairs.com/190319/data-breach/pro-iran-handala-group-breached-israeli-defence-contractor-psk-wind-technologies.html
  2. SecurityWeek — https://www.securityweek.com/
  3. CISA Shields Up — https://www.cisa.gov/shields-up
  4. MITRE ATT&CK — https://attack.mitre.org/
  5. NIST Cybersecurity Framework — https://www.nist.gov/cyberframework

T-Mobile USA wyjaśnia zgłoszenie o naruszeniu danych: incydent insiderski objął jedno konto

Cybersecurity news

Wprowadzenie do problemu / definicja

T-Mobile USA poinformował o incydencie bezpieczeństwa, który na pierwszy rzut oka mógł wyglądać jak kolejny szeroki wyciek danych klientów. Z późniejszych wyjaśnień operatora wynika jednak, że zdarzenie miało ograniczony charakter i dotyczyło pojedynczego konta klienta. Sprawa jest istotna z perspektywy cyberbezpieczeństwa, ponieważ pokazuje różnicę między masowym naruszeniem spowodowanym atakiem zewnętrznym a incydentem insiderskim wynikającym z nadużycia legalnego dostępu.

W praktyce takie rozróżnienie ma kluczowe znaczenie dla oceny ryzyka, doboru środków zaradczych oraz komunikacji z klientami i regulatorami. Incydenty insiderskie bywają trudniejsze do wykrycia, ponieważ nie zawsze pozostawiają ślady typowe dla klasycznych prób włamania.

W skrócie

  • Zgłoszenie dotyczyło nieautoryzowanego dostępu do danych jednego klienta.
  • T-Mobile USA wskazał, że źródłem incydentu był pojedynczy pracownik zewnętrznego dostawcy.
  • Firma podkreśliła, że nie doszło do masowego ataku ani kompromitacji poświadczeń klientów.
  • W ramach działań ochronnych zresetowano PIN konta poszkodowanej osoby.
  • Sprawa została zgłoszona odpowiednim organom i organom ścigania.

Kontekst / historia

T-Mobile USA w ostatnich latach wielokrotnie pojawiał się w doniesieniach dotyczących naruszeń danych, dlatego każde nowe zgłoszenie firmy jest analizowane ze zwiększoną uwagą. Tym razem zainteresowanie wzbudziła notyfikacja złożona do biura prokuratora generalnego stanu Maine. Z jej opisu można było wstępnie wywnioskować, że doszło do nieautoryzowanego dostępu do danych konta klienta, a zakres potencjalnie ujawnionych informacji obejmował dane identyfikacyjne oraz inne wrażliwe atrybuty.

Dodatkowe pytania budził fakt, że zgłoszenie wskazywało tylko jedną osobę dotkniętą incydentem. W podobnych przypadkach taka liczba bywa czasem tymczasowa i zmienia się po zakończeniu dochodzenia. T-Mobile zdementował jednak interpretację sugerującą szeroki wyciek i doprecyzował, że chodziło o izolowany incydent insiderski, a nie kampanię credential stuffing czy zewnętrzne przejęcie wielu kont.

Analiza techniczna

Z technicznego punktu widzenia najważniejsze jest właściwe zdefiniowanie modelu zagrożenia. W scenariuszu credential stuffing napastnicy wykorzystują pary login-hasło pozyskane z innych wycieków i automatycznie testują je w różnych usługach. Tego typu aktywność zwykle wiąże się z dużą liczbą prób logowania, anomaliami telemetrycznymi i próbami skalowania ataku na wiele kont jednocześnie.

W tym przypadku operator wskazał jednak na nadużycie ze strony pojedynczego pracownika dostawcy mającego już dostęp do określonych zasobów. Oznacza to, że problem nie wynikał z przełamania mechanizmów uwierzytelniania klienta, lecz z niewłaściwego wykorzystania istniejących uprawnień. Taki wektor zagrożenia jest szczególnie niebezpieczny, ponieważ działania osoby uprzywilejowanej mogą mieścić się w pozornie legalnym ruchu operacyjnym i trudniej je odróżnić od zwykłej pracy administracyjnej.

Zakres danych, do których uzyskano dostęp, obejmował między innymi imię i nazwisko, adres e-mail, adres fizyczny, numer konta i powiązany numer telefonu, PIN konta T-Mobile, datę urodzenia, numer prawa jazdy oraz numer Social Security. Jednocześnie firma zaznaczyła, że incydent nie dotyczył danych finansowych ani rejestrów połączeń. Reset PIN-u należy traktować jako standardowy krok ograniczający możliwość dalszego wykorzystania danych w procesach weryfikacyjnych lub działaniach socjotechnicznych.

Z perspektywy bezpieczeństwa przedsiębiorstw incydent wpisuje się w szerszą kategorię ryzyk związanych z dostępem stron trzecich. Jeśli pracownicy dostawców mają dostęp do systemów CRM, paneli administracyjnych, środowisk obsługi klienta lub danych operacyjnych, kluczowe stają się segmentacja dostępu, egzekwowanie zasady najmniejszych uprawnień, monitoring sesji uprzywilejowanych oraz analiza zachowań użytkowników.

Konsekwencje / ryzyko

Choć skala zdarzenia była bardzo ograniczona, potencjalne skutki dla poszkodowanego klienta pozostają poważne. Zestaw danych obejmujący informacje identyfikacyjne, numer telefonu, datę urodzenia, numer dokumentu tożsamości oraz SSN może zostać wykorzystany do kradzieży tożsamości, prób otwierania fałszywych rachunków, ataków socjotechnicznych lub obchodzenia procedur weryfikacyjnych w innych usługach.

Szczególne znaczenie ma również dostęp do PIN-u konta. Nawet jeśli został on później zresetowany, wcześniejsze ujawnienie takiego atrybutu może zwiększyć ryzyko podszywania się pod klienta podczas kontaktu z infolinią lub działem obsługi. W sektorze telekomunikacyjnym podobne dane bywają też wykorzystywane w próbach przejęcia numeru telefonu, choć w tym przypadku nie ma informacji, by doszło do takiego dalszego nadużycia.

Na poziomie organizacyjnym konsekwencje obejmują także reputację i zaufanie. W przypadku firmy, która wcześniej mierzyła się z głośnymi naruszeniami, nawet jednostkowy incydent może zostać odebrany jako sygnał utrzymujących się problemów z nadzorem nad dostawcami, kontrolą dostępu i ochroną danych osobowych.

Rekomendacje

Organizacje przetwarzające dane klientów powinny traktować dostęp dostawców i podwykonawców jako obszar podwyższonego ryzyka. W praktyce oznacza to konieczność wdrożenia wielowarstwowych zabezpieczeń technicznych i organizacyjnych.

  • Ograniczanie dostępu stron trzecich wyłącznie do zasobów niezbędnych do realizacji konkretnej funkcji biznesowej.
  • Nadawanie uprawnień czasowo oraz regularna recertyfikacja ról i dostępów.
  • Automatyczne wycofywanie uprawnień po zmianie roli lub zakończeniu współpracy.
  • Rejestrowanie i monitorowanie sesji użytkowników uprzywilejowanych.
  • Wykrywanie nietypowych odczytów rekordów klientów oraz korelacja zdarzeń w systemach SIEM i UEBA.
  • Maskowanie szczególnie wrażliwych danych oraz wdrażanie mechanizmów just-in-time access.
  • Rozwijanie procedur reagowania na incydenty insiderskie, obejmujących szybkie unieważnianie PIN-ów, analizę działań użytkownika i zabezpieczenie śladów audytowych.

Z perspektywy klientów zalecane są podstawowe działania ochronne, takie jak zmiana haseł i PIN-ów, wzmożona ostrożność wobec phishingu i vishingu, monitorowanie raportów kredytowych oraz czujność wobec kontaktów podszywających się pod operatora telekomunikacyjnego.

Podsumowanie

Najnowsze zgłoszenie T-Mobile USA nie dotyczyło masowego wycieku danych ani kampanii credential stuffing, lecz izolowanego incydentu insiderskiego z udziałem pracownika dostawcy. Choć skala zdarzenia ograniczyła się do jednego konta, zakres potencjalnie ujawnionych danych pokazuje, że nawet pojedyncze naruszenie może generować wysokie ryzyko dla osoby poszkodowanej.

Przypadek ten podkreśla znaczenie precyzyjnego rozróżniania incydentów insiderskich od ataków zewnętrznych, a także potrzebę ścisłej kontroli dostępu stron trzecich, monitoringu aktywności uprzywilejowanej i regularnej weryfikacji uprawnień w systemach obsługujących dane klientów.

Źródła

Ponad 14 tys. instancji F5 BIG-IP APM nadal narażonych na ataki RCE

Cybersecurity news

Wprowadzenie do problemu / definicja

F5 BIG-IP APM to rozwiązanie klasy access proxy oraz platforma egzekwowania polityk dostępu, stosowana do ochrony użytkowników, aplikacji i interfejsów API. W centrum uwagi znalazła się podatność CVE-2025-53521, dotycząca wdrożeń BIG-IP APM z odpowiednio skonfigurowaną polityką dostępu przypisaną do virtual servera.

Choć luka początkowo była opisywana jako problem prowadzący do odmowy usługi, późniejsza analiza wykazała możliwość zdalnego wykonania kodu. Taka zmiana klasyfikacji znacząco podnosi poziom ryzyka i wymaga od organizacji ponownej oceny ekspozycji.

W skrócie

Ponad 14 tys. publicznie dostępnych instancji F5 BIG-IP APM pozostaje narażonych na ataki wykorzystujące CVE-2025-53521. Podatność jest aktywnie wykorzystywana, a jej charakter sprawia, że atak może zostać przeprowadzony zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

  • zagrożone są wdrożenia BIG-IP APM w podatnych wersjach,
  • kluczowe znaczenie ma obecność polityki dostępu na virtual serverze,
  • luka została przeklasyfikowana z DoS do RCE,
  • problem trafił do katalogu aktywnie wykorzystywanych podatności.

Kontekst / historia

CVE-2025-53521 ujawniono w 2025 roku, jednak realna waga problemu wzrosła po aktualizacji klasyfikacji w marcu 2026 roku. To istotne, ponieważ część organizacji mogła wcześniej potraktować tę słabość wyłącznie jako ryzyko zakłócenia dostępności, a nie potencjalną drogę do pełnej kompromitacji urządzenia.

Wpisanie podatności do katalogu Known Exploited Vulnerabilities oraz krótki termin wyznaczony na zabezpieczenie systemów federalnych w USA wskazują, że zagrożenie ma charakter operacyjny. W przypadku urządzeń F5 BIG-IP, które często pełnią rolę krytycznego punktu kontroli ruchu i uwierzytelniania, konsekwencje mogą być szczególnie poważne.

Analiza techniczna

Z technicznego punktu widzenia CVE-2025-53521 umożliwia zdalne wykonanie kodu w scenariuszu, gdy polityka dostępu APM została przypięta do virtual servera, a urządzenie odbiera odpowiednio spreparowany ruch. Wektor ataku wskazuje na możliwość wykorzystania przez sieć, przy niskiej złożoności, bez wymaganych uprawnień i bez udziału użytkownika końcowego.

Zmiana klasyfikacji z DoS na RCE nie oznacza pojawienia się nowej luki, lecz nową ocenę skutków tej samej słabości. To ważne rozróżnienie, ponieważ organizacje, które wcześniej uznały problem za ograniczony do stabilności usług, powinny obecnie traktować go jako potencjalną ścieżkę przejęcia urządzenia.

BIG-IP APM działa zwykle na styku Internetu i sieci wewnętrznej, dlatego skuteczne wykorzystanie podatności może otworzyć napastnikowi drogę do uruchomienia kodu na systemie pośredniczącym w ruchu uwierzytelniającym. W praktyce może to oznaczać analizę konfiguracji, zmianę reguł ruchu, przejęcie danych uwierzytelniających oraz dalsze poruszanie się w głąb infrastruktury.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest możliwość przejęcia urządzenia brzegowego obsługującego krytyczne procesy dostępu. Taki incydent może przełożyć się nie tylko na samo urządzenie, ale również na wiele zależnych systemów i usług.

  • utrata poufności danych uwierzytelniających i danych sesyjnych,
  • modyfikacja polityk dostępu lub konfiguracji proxy,
  • utworzenie persystencji w urządzeniu lub kopiach konfiguracji,
  • wykorzystanie BIG-IP jako punktu pivot do dalszych działań w sieci,
  • zakłócenie ciągłości działania usług dostępowych.

Szczególnie istotne jest ryzyko związane z kopiami UCS. Jeśli backup wykonano już po kompromitacji, jego przywrócenie może odtworzyć złośliwe artefakty albo niepożądaną konfigurację. W efekcie standardowe podejście oparte wyłącznie na odtwarzaniu systemu z kopii zapasowej może okazać się niewystarczające.

Ryzyko biznesowe pozostaje wysokie także dlatego, że BIG-IP często stanowi element wspólnej infrastruktury dla wielu aplikacji, usług publikowanych do Internetu, zdalnego dostępu i komunikacji API. Jedno naruszenie może więc wywołać efekt kaskadowy.

Rekomendacje

Organizacje korzystające z F5 BIG-IP APM powinny potraktować tę podatność priorytetowo i prowadzić działania równolegle w kilku obszarach. Kluczowe jest szybkie ustalenie, czy podatna konfiguracja występuje w środowisku oraz czy nie doszło już do naruszenia.

  • zweryfikować wersję oprogramowania i obecność polityk APM na virtual serverach,
  • niezwłocznie wdrożyć poprawki dostawcy lub oficjalne środki zaradcze,
  • przeprowadzić analizę logów, historii poleceń i aktywności administracyjnej,
  • sprawdzić integralność kont administracyjnych oraz konfiguracji,
  • porównać bieżący stan urządzenia z konfiguracją referencyjną,
  • ostrożnie traktować backupy UCS, jeśli nie da się ustalić momentu kompromitacji,
  • ograniczyć dostęp administracyjny do wybranych adresów i sieci zarządzających,
  • segmentować interfejsy zarządzania oraz centralizować logi w systemie SIEM.

W przypadku wykrycia oznak włamania zalecane jest odtworzenie urządzenia z zaufanego źródła lub pełna przebudowa konfiguracji. Samo przywrócenie niezweryfikowanej kopii może utrwalić obecność napastnika w środowisku.

Podsumowanie

CVE-2025-53521 pokazuje, jak duże znaczenie ma ciągła rewaluacja podatności, zwłaszcza gdy zmienia się ich klasyfikacja i rzeczywisty poziom zagrożenia. W przypadku F5 BIG-IP APM skala internetowej ekspozycji pozostaje wysoka, a luka jest już wykorzystywana w praktyce.

Dla zespołów bezpieczeństwa oznacza to konieczność natychmiastowej weryfikacji wersji, konfiguracji APM, potencjalnych śladów kompromitacji oraz jakości kopii zapasowych. W środowiskach, w których BIG-IP pełni funkcję krytycznego punktu dostępowego, opóźnienie reakcji może skutkować pełnoskalowym naruszeniem infrastruktury.

Źródła

  1. Over 14,000 F5 BIG-IP APM instances still exposed to RCE attacks — https://www.bleepingcomputer.com/news/security/over-14-000-f5-big-ip-apm-instances-still-exposed-to-rce-attacks/
  2. NVD – CVE-2025-53521 Detail — https://nvd.nist.gov/vuln/detail/CVE-2025-53521
  3. CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-53521
  4. F5 Security Advisory for CVE-2025-53521 — https://my.f5.com/manage/s/article/K000156741
  5. Shadowserver BIG-IP APM Exposure Statistics — https://dashboard.shadowserver.org/statistics/combined/exposed-big-ip-apm/

Co To Jest HIPAA? Wszystko, Co Musisz Wiedzieć W Jednym Miejscu

HIPAA – co to jest i jak działa w praktyce?

Gdy w projekcie pada hasło „musimy być HIPAA compliant”, rozmowa zwykle zbyt szybko skręca w szyfrowanie, backupy i podpisanie umowy z chmurą. To za mało. HIPAA nie jest pojedynczym checkboxem ani samą „ustawą o prywatności”. To zestaw reguł, które dotykają prywatności danych medycznych, bezpieczeństwa ePHI, obsługi naruszeń, praw pacjenta do dostępu i realnego egzekwowania wymagań przez regulatora. Dla zespołu security to temat bardzo operacyjny: kto ma dostęp do danych, jak to logujesz, jak reagujesz na incydent, co dzieje się w API i czy vendor faktycznie jest pod kontrolą.

Czytaj dalej „Co To Jest HIPAA? Wszystko, Co Musisz Wiedzieć W Jednym Miejscu”