Archiwa: VPN - Strona 105 z 108 - Security Bez Tabu

Tag: VPN

Fortinet i Ivanti łatają luki o wysokiej istotności – październik 2025

Wprowadzenie do problemu / definicja luki

15 października 2025 r. Fortinet i Ivanti opublikowały październikowe biuletyny bezpieczeństwa, w których zaadresowano szereg podatności – w tym kilka o istotności „high”. Fortinet udostępnił łącznie 29 nowych porad, m.in. dla FortiOS, FortiPAM/FortiSwitchManager, FortiDLP i FortiIsolator. Ivanti wydało poprawki dla EPMM i Neurons for MDM oraz wskazówki do Endpoint Manager (EPM).

W skrócie

  • FortiOS (CVE-2025-58325, High, CVSS 7.8): lokalny uwierzytelniony użytkownik może zyskać możliwość wykonania komend systemowych przez obejście ograniczeń CLI. Łata dostępna; dotyczy wielu gałęzi 6.4–7.6.
  • FortiPAM / FortiSwitchManager (CVE-2025-49201, High): słabe uwierzytelnianie (CWE-1390) umożliwia zdalne obejście autoryzacji i wykonanie nieautoryzowanych poleceń przez spreparowane żądania HTTP.
  • FortiDLP (m.in. zależność Apache Tika): ryzyko ujawnienia danych/SSRF wynikające z podatności w bibliotece Tika używanej przez FortiDLP; dodatkowo luki podnoszące uprawnienia.
  • Ivanti EPMM & Neurons for MDM: kilka luk o wysokiej istotności, m.in. zdalne wykonanie kodu (po stronie uprzywilejowanego admina), obejście MFA i możliwość „unenroll” urządzeń; producent nie notuje exploitów „in the wild”.

Kontekst / historia / powiązania

Urządzenia Fortinet i platformy Ivanti były wielokrotnie na celowniku atakujących – część wcześniejszych luk trafiała do katalogu KEV CISA i była wykorzystywana w łańcuchach ataku na sieci brzegowe. Obecny pakiet poprawek wpisuje się w comiesięczny cykl łatania producentów i ma ograniczyć możliwość pivotowania przez kompromitację urządzeń zarządzających i filtrujących ruch. Przegląd i liczby dla października podał m.in. SecurityWeek.

Analiza techniczna / szczegóły luki

FortiOS – CVE-2025-58325 (High)

  • Wada: „Incorrect Provision of Specified Functionality” (CWE-684) w obsłudze CLI; pozwala lokalnemu, uwierzytelnionemu użytkownikowi na wykonanie komend systemowych z podwyższonymi uprawnieniami (eskalacja).
  • Zakres wersji: 7.6.0; 7.4.0–7.4.5; 7.2.5–7.2.10; 7.0.0–7.0.15; wszystkie 6.4.* (wg NVD).
  • Ocena ryzyka: CVSS 3.1: 7.8 (AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).
  • Status: poprawki dostępne; Fortinet opublikował poradę PSIRT (FG-IR-24-361).

FortiPAM / FortiSwitchManager – CVE-2025-49201 (High)

  • Wada: słabe mechanizmy uwierzytelniania (CWE-1390) umożliwiające brute force/obejście logowania i wykonanie nieautoryzowanych poleceń.
  • Zakres wersji: FortiPAM 1.5.0; 1.4.0–1.4.2; 1.3.0–1.3.1; 1.2.0; 1.1.0–1.1.2; 1.0.0–1.0.3; FortiSwitchManager 7.2.0–7.2.4.
  • Wpływ: potencjalny RCE/komendy w kontekście aplikacji.
  • Status: łatki i porada PSIRT (FG-IR-25-010).

FortiDLP / FortiIsolator i inne komponenty

  • FortiDLP: podatności, w tym wynikające z użycia Apache Tika, mogą prowadzić do ujawnienia danych lub SSRF; dodatkowo dwa wewnętrzne EoP do LocalService/Root.
  • FortiIsolator (CVE-2024-33507, High): manipulacja ciasteczkami umożliwia deautoryzację adminów (bez uwierzytelnienia) lub nadanie uprawnień zapisu (po uwierzytelnieniu).
  • Inne produkty: aktualizacje m.in. FortiProxy, FortiManager, FortiAnalyzer, FortiWeb, FortiSOAR, FortiSIEM, FortiSASE. (Szczegółowe listy w biuletynach Fortinet).

Ivanti – EPMM i Neurons for MDM (październik 2025)

  • EPMM: trzy luki o „high severity” umożliwiające wykonanie kodu przez uwierzytelnionego admina; jedna luka „medium” (zapis na dysk).
  • Neurons for MDM: dwie luki „high” – jedna pozwala adminowi „unenroll” dowolne urządzenie (znika z UEM UI), druga to obejście MFA; dodatkowo luka „medium” w API ujawniająca wrażliwe dane bez uwierzytelnienia.
  • Status: poprawki dostępne; brak informacji o aktywnej eksploatacji.

Praktyczne konsekwencje / ryzyko

  • Ryzyko lateral movement: przejęcie urządzeń brzegowych/UEM ułatwia pivotowanie w sieci i eskalację uprawnień w domenie.
  • Zakłócenie widoczności i kontroli: „unenroll” urządzeń w MDM odcina je od polityk, co zwiększa powierzchnię ataku w mobilnym ekosystemie.
  • Utrata poufności: luki w FortiDLP/Apache Tika mogą odsłonić dane i/lub umożliwić SSRF do zasobów wewnętrznych.
  • Uprzywilejowany dostęp: obejście uwierzytelniania (FortiPAM/FortiSwitchManager) lub wykonanie komend przez CLI (FortiOS) może skutkować trwałym umocnieniem się atakującego.

Rekomendacje operacyjne / co zrobić teraz

  1. Zaktualizuj natychmiast FortiOS, FortiPAM/FortiSwitchManager, FortiDLP/FortiIsolator oraz Ivanti EPMM i Neurons for MDM do wersji wskazanych w najnowszych poradach producentów. Priorytet: systemy z dostępem administracyjnym z sieci i komponenty brzegowe.
  2. Zweryfikuj ekspozycję usług (GUI/API/SSO/CLI) – ogranicz dostęp administracyjny do sieci zarządzającej/VPN, wprowadź allow-listy IP i MFA.
  3. Rotacja haseł i kluczy dla kont serwisowych/adminów na urządzeniach Fortinet/Ivanti; sprawdź, czy nie doszło do nieautoryzowanych logowań.
  4. Przejrzyj logi pod kątem IOC: nieudane/masowe próby logowania (FortiPAM/FortiSwitchManager), nietypowe komendy w CLI (FortiOS), niespodziewane unenrolle w MDM, błędy API i anomalie ruchu wychodzącego (potencjalny SSRF).
  5. Segmentacja i least privilege: minimalizuj wpływ ewentualnego naruszenia; rozdziel płaszczyzny zarządzania od ruchu użytkowników.
  6. Zarządzanie zależnościami: jeśli używasz funkcji zależnych od bibliotek typu Apache Tika, monitoruj wersje i politykę aktualizacji.

Różnice / porównania z innymi przypadkami

  • Lokalne vs. zdalne wektory: CVE-2025-58325 wymaga konta lokalnego (AV:L), ale daje wysoki wpływ i może połączyć się z innymi błędami do pełnego przejęcia. Z kolei CVE-2025-49201 ma wektor sieciowy (AV:N), co podnosi priorytet twardego ograniczenia ekspozycji usług HTTP/GUI.
  • UEM/MDM jako cel: luki w Ivanti nie wymagają zero-day do masowego nadużycia – wystarczy skompromitowane konto admina lub błędy konfiguracji, by wyłączyć ochronę urządzeń mobilnych (unenroll) lub ominąć MFA.

Podsumowanie / kluczowe wnioski

  • Październikowe poprawki Fortinet i Ivanti zamykają istotne luki, które w złych rękach mogą stać się elementem skutecznych łańcuchów ataku.
  • Administratorzy powinni niezwłocznie aktualizować wskazane produkty, ograniczyć powierzchnię ataku (ekspozycja GUI/API/CLI), włączyć ścisłe monitorowanie i przeprowadzić przegląd logów pod kątem anomalii.
  • Brak doniesień o aktywnej eksploatacji to okno możliwości na bezpieczne wdrożenie łatek, zanim pojawią się publiczne PoC lub masowe skanowanie.

Źródła / bibliografia

  1. SecurityWeek: „High-Severity Vulnerabilities Patched by Fortinet and Ivanti” (15.10.2025). (SecurityWeek)
  2. Fortinet PSIRT (FG-IR-24-361): Restricted CLI command bypass – CVE-2025-58325 (14.10.2025). (fortiguard.fortinet.com)
  3. NVD: CVE-2025-58325 – FortiOS CLI command bypass (14.10.2025). (NVD)
  4. Fortinet PSIRT (FG-IR-25-010): Weak authentication in FortiPAM/FortiSwitchManager – CVE-2025-49201 (14.10.2025). (fortiguard.fortinet.com)
  5. Ivanti: „October 2025 Security Advisory – Neurons for MDM / EPMM” (październik 2025). (forums.ivanti.com)

Microsoft Patch Tuesday (październik 2025): 6 luk zero-day i 172 poprawki — co trzeba załatać w pierwszej kolejności

Wprowadzenie do problemu / definicja luki

Microsoft opublikował zestaw poprawek Patch Tuesday z 14 października 2025 r., który usuwa 172 podatności, w tym 6 luk zero-day (część była aktywnie wykorzystywana). Zestaw obejmuje 8 luk oznaczonych jako „Critical”. To jednocześnie wydanie, które zbiegło się z końcem wsparcia dla Windows 10 w standardowym cyklu aktualizacji (z opcją ESU).

W skrócie

  • 172 CVE, w tym 6 zero-day; najwięcej to EoP (80), dalej RCE (31) i Information Disclosure (28).
  • Priorytet 1: CVE-2025-24990 (Agere Modem, EoP, exploited) i CVE-2025-59230 (Remote Access Connection Manager, EoP, exploited).
  • Windows 10: koniec wsparcia w Patch Tuesday; ścieżka ESU (w tym inicjatywy dla użytkowników w UE) — zaplanuj migrację.

Kontekst / historia / powiązania

Październikowe biuletyny tradycyjnie są „ciężkie”, ale w tym miesiącu wyróżnia się zarówno liczba CVE, jak i liczba EoP (eskalacje uprawnień), które często pełnią rolę łącznika w łańcuchach ataku po początkowym footholdzie. Dodatkowo, to wydanie zamyka standardowy cykl dla Windows 10; organizacje zostają ze ścieżką Extended Security Updates albo migracją do Windows 11/Windows Server nowszych wydań.

Analiza techniczna / szczegóły luki

6 zero-day w październiku 2025

Aktywnie wykorzystywane (exploited in the wild):

  1. CVE-2025-24990 — Agere Modem driver (ltmdm64.sys), EoP
    Microsoft usuwa podatny sterownik z systemu (może to unieruchomić powiązany sprzęt faks/modem). Wpływa na wspierane wersje Windows.
  2. CVE-2025-59230 — Remote Access Connection Manager (RasMan), EoP
    Błąd kontroli dostępu umożliwia lokalną eskalację do SYSTEM po pewnym nakładzie przygotowań.
  3. (Zgłoszenia do katalogu CISA KEV) — luki EoP w sterowniku Agere są klasyfikowane jako znane i wykorzystywane — potwierdza CISA KEV (priorytet patchowania).

Publicznie ujawnione / o wysokim ryzyku łańcuchowym:
4. CVE-2025-0033 — AMD SEV-SNP RMP corruption
Dotyczy środowisk wirtualizacji (hipernadzorca z uprzywilejowanym dostępem). Wpływ na integralność pamięci gościa.
5. CVE-2025-24052 — Agere Modem driver, EoP (pokrewne do 24990) — publicznie ujawnione.
6. CVE-2025-47827 — Secure Boot bypass (IGEL OS < 11)
Dodane do zbioru aktualizacji Microsoft; dotyczy łańcucha rozruchu (weryfikacja podpisu modułu igel-flash-driver).
7. CVE-2025-2884 — TCG TPM 2.0 (OOB read)
Potencjalny DoS/ujawnienie informacji w implementacji referencyjnej TPM 2.0 (aktualizacje włączone do paczek Microsoft).

Uwaga: różne firmy raportujące liczbę CVE podają czasem odmienne sumy z powodu innej metodologii liczenia (np. wyłączenie/uwzględnienie produktów chmurowych). Przykładowo, niezależne zestawienia wskazywały na 167–175 CVE; my opieramy się na 172 wg BleepingComputer i CrowdStrike.

Rozbicie wg typów podatności i produktów

  • 80× EoP, 31× RCE, 28× Info Disclosure, reszta: SFB, DoS, Spoofing.
  • Najwięcej poprawek dla Microsoft Windows (~134), dalej Office (~18) i Azure (~6).
    Te wnioski są spójne z analizą CrowdStrike dla bieżącego wydania.

Praktyczne konsekwencje / ryzyko

  • EoP jako „klej” łańcucha: luki w Agere i RasMan ułatwiają przejście z konta użytkownika/serwisu do SYSTEM i trwałą persystencję po początkowym włamaniu (phishing, BYOVD, błędy w aplikacjach).
  • Środowiska wirtualne i chmura: CVE-2025-0033 (AMD SEV-SNP) zwiększa ryzyko naruszenia izolacji maszyn poufnych w określonych modelach zagrożeń (uprzywilejowany hipernadzorca).
  • Łańcuch zaufania rozruchu/TPM: CVE-2025-47827 (Secure Boot) i CVE-2025-2884 (TPM 2.0) mogą podważać integralność platformy; wymagają testów zgodności w środowiskach z pełnym UEFI Secure Boot/Measured Boot.
  • Koniec wsparcia Windows 10: brak regularnych łat poza ESU podnosi powierzchnię ryzyka w organizacjach z długim ogonem urządzeń.

Rekomendacje operacyjne / co zrobić teraz

Priorytet łatania (48–72 h):

  1. CVE-2025-24990 (Agere, EoP, exploited) — zweryfikuj usunięcie sterownika; monitoruj wpływ na urządzenia faks/modem (wycofanie sprzętu legacy).
  2. CVE-2025-59230 (RasMan, EoP, exploited) — patch + reguły detekcji nietypowych wywołań usług RAS/rasdial, logon type 5/7 w korelacji z procesami VPN/RDP.
  3. CVE-2025-0033 (AMD SEV-SNP) — skoordynuj z zespołem wirtualizacji/Cloud Center of Excellence; sprawdź komunikaty Azure Service Health dla klastrów ACC.

Kontrole twardniejące i detekcyjne:

  • Włącz Kernel-mode Hardware-enforced Stack Protection (tam, gdzie wspierane), HVCI, ASR; zablokuj ładowanie niepodpisanych/ podatnych sterowników (WDAC z trybem „deny-list BYOVD”).
  • W SOC dołóż telemetrię ETW dla ładowania sterowników (Event ID 6, 7 w Sysmon), anomalii w RasMan, próby modyfikacji BCD/bootloadera (Secure Boot).
  • W TPM/UEFI: sprawdź logi PCR/Measured Boot i stan EKCert po aktualizacji (degradacje zaufania).

Zarządzanie Windows 10 / ESU:

  • Opracuj matrycę migracji do Windows 11 lub zarejestruj urządzenia do ESU (uwzględnij polityki regionalne; część użytkowników w UE otrzymuje rok ESU bezpłatnie — patrz szczegółowe omówienie).

Różnice / porównania z innymi przypadkami

W poprzednich miesiącach przeważały RCE i błędy w usługach sieciowych. W październiku wyraźnie rośnie udział EoP i temat BYOVD (sterowniki firm trzecich w obrazie systemu). Dodatkowo wątek Trusted Computing (Secure Boot/TPM) częściej pojawia się w biuletynach — to sygnał, by objąć tymi testami ścieżki CI/CD obrazów systemowych (golden image, autopatch).

Podsumowanie / kluczowe wnioski

  • Zalataj teraz: CVE-2025-24990 (Agere) i CVE-2025-59230 (RasMan).
  • Zaplanuj działania w wirtualizacji/chmurze dla CVE-2025-0033 (AMD SEV-SNP).
  • Zadbaj o integralność rozruchu (Secure Boot/TPM) po aktualizacjach.
  • Windows 10: podejmij decyzję ESU vs. migracja — zwłoka zwiększa ekspozycję.
  • Ustal wewnętrzne SLA patchingu na 7 dni dla krytycznych systemów użytkowych i 14 dni dla serwerów z oknami serwisowymi.

Źródła / bibliografia

  1. BleepingComputer — „Microsoft October 2025 Patch Tuesday fixes 6 zero-days, 172 flaws” (szczegóły CVE, zero-day). (BleepingComputer)
  2. CrowdStrike — „October 2025 Patch Tuesday: … 172 CVEs” (statystyki, rozbicie po typach i produktach). (CrowdStrike)
  3. Microsoft — Windows Message Center (oficjalny komunikat o dostępności aktualizacji i status Windows 10). (Microsoft Learn)
  4. CISA — Known Exploited Vulnerabilities Catalog (priorytetyzacja i potwierdzenie wykorzystywania). (CISA)
  5. Rapid7 — „Patch Tuesday – October 2025” (kontekst końca wsparcia Windows 10 i wzmianka o ESU). (Rapid7)

ICTBroadcast (CVE-2025-2611): krytyczna komenda w ciasteczku, aktywnie wykorzystywana w atakach

Wprowadzenie do problemu / definicja luki

CVE-2025-2611 to krytyczna podatność typu command injection w ICTBroadcast (oprogramowanie autodialer/call center). Błąd polega na tym, że aplikacja niebezpiecznie przekazuje zawartość ciasteczka sesyjnego do powłoki, co pozwala napastnikowi – bez uwierzytelnienia – wykonywać zdalnie dowolne komendy systemowe (RCE). Według analizy VulnCheck ataki są już w toku i obejmują skanowanie oraz próby zestawienia powłok odwrotnych. Badacze szacują, że w sieci jest wystawionych „kilkaset” instalacji, które w ogóle nie powinny być publicznie dostępne.

W skrócie

  • Produkt: ICTBroadcast (wersje ≤ 7.4 znane jako podatne).
  • Identyfikator: CVE-2025-2611, CVSS v4: 9.3 (CRITICAL).
  • Wektor: nagłówek HTTP Cookie – manipulacja ciasteczkiem (np. BROADCAST) prowadzi do wykonania komend.
  • Status: aktywnie wykorzystywana (wykryte kampanie; dostępny moduł Metasploit).
  • Ekspozycja: ~200 hostów widocznych w Internecie.
  • Działania priorytetowe: odizolować wystawione instancje, zaktualizować, wdrożyć WAF/IPS, doraźne reguły detekcyjne i polisy nagłówków, przeszukać logi pod kątem IOCs.

Kontekst / historia / powiązania

Podatność została zgłoszona vendorowi w marcu 2025 r., a po przekroczeniu 120-dniowego okna ujawnienia pojawił się publiczny moduł Metasploit – co typowo znacząco przyspiesza falę eksploatacji w Internecie. 11 października 2025 r. VulnCheck dodał CVE-2025-2611 do własnego VulnCheck KEV (katalog aktywnie wykorzystywanych luk) po obserwacji realnych ataków. Część wskaźników ataku (m.in. adresy IP i wykorzystanie tunelowania localtonet) pokrywa się z kampanią opisywaną wcześniej przez Fortinet, co sugeruje re-use narzędzi/infrastruktury.

Analiza techniczna / szczegóły luki

Mechanika jest prosta i dlatego groźna:

  • Aplikacja ewaluje dane z ciasteczka w kontekście powłoki. Atakujący wstawia w ciasteczko sekwencję poleceń; popularny wariant to payload zakodowany base64, który serwer dekoduje i odpala (|base64 -d|sh).
  • Widoczne w telemetrii dwie fazy:
    1. sonda czasowa (np. komenda sleep) do potwierdzenia RCE,
    2. dowiezienie powłoki – m.in. przez mkfifo+nc, warianty awk, czy sprytne python+zlib w ciasteczku.
  • Wystarczy pojedynczy żądany URL (np. /login.php) z odpowiednio przygotowanym nagłówkiem Cookie; uwierzytelnienie nie jest wymagane.
  • NVD wskazuje na Improper Input Validation (CWE-20) i potwierdza zakres (≤ 7.4) oraz scoring CVSS v4 zgodny z VulnCheck.

Dostępne narzędzia ataku

Publiczny moduł Metasploit (linux/http/ictbroadcast_unauth_cookie) automatyzuje wysyłkę złośliwego ciasteczka i uzyskanie RCE – to podnosi ryzyko „commodity exploits” również przez mniej zaawansowanych sprawców.

Praktyczne konsekwencje / ryzyko

  • Pełne przejęcie hosta: wykonywanie komend jako użytkownik usługi/webservera; eskalacja uprawnień możliwa lokalnie.
  • Pivot do sieci wewnętrznej: hosty te często mają dostęp do baz danych PBX/CRM.
  • Exfiltracja danych i nadużycia telekomunikacyjne: kradzież list kontaktowych, nadużycia kosztowe (robocalls), reputacyjne i prawne.
  • Łańcuchowe kampanie: pokrycie IOCs z innymi operacjami sugeruje możliwość kampanii masowych i ponownego wykorzystania infrastruktury.

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe ograniczenie ekspozycji

  • Jeżeli ICTBroadcast jest publicznie dostępny, odłącz go od Internetu lub przepuść wyłącznie przez VPN/zerotrust z MFA.
  • Dodaj tymczasowe reguły WAF/IPS blokujące nagłówki Cookie zawierające backticki, potoki (|), base64 -d, czy wzorce mkfifo, nc, awk, python -c.

2) Aktualizacja i twarda konfiguracja

  • Zaktualizuj do najnowszej wersji dostawcy (wersje ≤ 7.4 są znane jako podatne według NVD). Po aktualizacji przeprowadź testy regresyjne i sprawdź noty wydania.

3) Detekcja i reagowanie (IR)

  • Przeskanuj logi HTTP pod kątem podejrzanych ciasteczek (BROADCAST=..., sekwencje base64, backticki).
  • Sprawdź ewentualne połączenia wychodzące do znanych IOCs (np. localtonet.com, IP 143.47.53.106, itp.).
  • Zweryfikuj, czy na hoście nie ma trwałych mechanizmów (crontab, systemd timers, autoruns) ani nietypowych plików w /tmp.
  • Zaimplementuj reguły IDS/IPS – VulnCheck publikuje gotowe sygnatury Snort/Suricata dla klientów.

4) Zmniejszanie ryzyka długoterminowo

  • Segmentacja i zasada najmniejszych uprawnień dla serwerów telekomunikacyjnych.
  • AppArmor/SELinux oraz sandboxing procesów WWW.
  • Włączenie monitoringu EDR i list kontroli aplikacji dla procesów sieciowych (nc, bash, python).
  • Używaj list KEV (np. VulnCheck KEV) jako wejścia do priorytetyzacji patchy i skanowań ataków w toku.

Różnice / porównania z innymi przypadkami

W odróżnieniu od wielu RCE w aplikacjach web, tu wektor to ciasteczko (pre-auth), a nie parametry URL/POST. To ułatwia ukrycie się przed prostymi filtrami. W porównaniu z głośnymi 0-dayami w urządzeniach VPN (np. Ivanti z 2025 r.), bariera wejścia jest podobnie niska, ale powierzchnia mniejsza – to jednak nie zmniejsza krytyczności dla organizacji, które wdrożyły ICTBroadcast jako usługę internetową.

Podsumowanie / kluczowe wnioski

  • CVE-2025-2611 to krytyczna, pre-auth RCE; ataki już trwają i mają dwa powtarzalne etapy (sonda + powłoka).
  • Publiczny Metasploit przyspiesza masową eksploatację.
  • Priorytety: natychmiastowa izolacja hostów, aktualizacja, reguły WAF/IPS, przegląd logów i IOCs, wzmocnienie hostów i segmentacja.

Źródła / bibliografia

  1. VulnCheck: „ICTBroadcast Command Injection Actively Exploited (CVE-2025-2611)” – szczegóły techniczne, payloady, IOCs i status KEV (14 paź 2025). (VulnCheck)
  2. NVD: wpis CVE-2025-2611 – opis, zakres wersji (≤ 7.4), CVSS v4 i odniesienia. (NVD)
  3. Rapid7 Metasploit Wrap-Up (08 sie 2025): dostępność modułu ictbroadcast_unauth_cookie. (Rapid7)
  4. The Hacker News: podsumowanie i potwierdzenie aktywnej eksploatacji w środowisku. (The Hacker News)
  5. VulnCheck KEV (strona społeczności): wykorzystanie KEV do priorytetyzacji reakcji. (VulnCheck)

CISA dodaje 5 nowych luk do katalogu KEV (14 października 2025) — co to oznacza dla Twojej organizacji

Wprowadzenie do problemu / definicja luki

14 października 2025 r. amerykańska CISA dodała pięć nowych, aktywnie wykorzystywanych luk do katalogu Known Exploited Vulnerabilities (KEV). Dodanie do KEV oznacza, że istnieją wiarygodne dowody nadużyć „in the wild”, a dla agencji federalnych wyznaczany jest twardy termin remediacji zgodnie z dyrektywą BOD 22-01. W praktyce to także sygnał „patch now” dla sektora prywatnego.

W skrócie

  • Nowe CVE w KEV (5):
    • CVE-2025-24990 — Windows (sterownik Agere Modem, „untrusted pointer dereference”).
    • CVE-2025-47827IGEL OS 10 (obejście Secure Boot przez użycie klucza po dacie ważności).
    • CVE-2025-59230 — Windows Remote Access Connection Manager (podniesienie uprawnień).
    • CVE-2016-7836SKYSEA Client View (zdalne wykonanie kodu, CVSS 9.8).
    • CVE-2025-6264Rapid7 Velociraptor (błędne domyślne uprawnienia → wykonanie poleceń).
  • Dlaczego teraz? Fala wpisów koreluje z październikowym Patch Tuesday (Microsoft) i świeżymi obserwacjami nadużyć (m.in. Velociraptor w incydentach ransomware).
  • Termin (FCEB): dla nowych pozycji z 14.10.2025 CISA wyznacza deadline 4 listopada 2025. To dobra praktyka także dla firm prywatnych.

Kontekst / historia / powiązania

Katalog KEV to „lista wstydu” produktów z lukami, które naprawdę są wykorzystywane. Wpis do KEV wymusza na podmiotach federalnych priorytetową remediację (zwykle w 21 dni), a w wyjątkowych sytuacjach — szybciej. W 2025 r. KEV był wielokrotnie uzupełniany falami po Patch Tuesday oraz po publicznych raportach o nadużyciach (np. ransomware wykorzystujący Velociraptor).

Analiza techniczna / szczegóły luki

1) CVE-2025-24990 — Microsoft Windows (sterownik Agere Modem)

  • Typ/efekt: dereferencja niezaufanego wskaźnika w sterowniku, potencjalne EoP/RCE w zależności od kontekstu wywołania.
  • Kontekst: sterownik jest dostarczany z wieloma wersjami Windows; Microsoft oznaczył problem jako eksploatowany.
  • Działania: usuń/wyłącz sterownik tam, gdzie niepotrzebny; zastosuj poprawki Microsoftu.

2) CVE-2025-47827 — IGEL OS 10 (Secure Boot bypass)

  • Typ/efekt: bypass Secure Boot — użycie klucza po dacie ważności w module igel-flash-driver umożliwia podmianę obrazu rootfs (SquashFS) i uruchomienie niepodpisanego systemu.
  • Wpływ: fizyczny napastnik może osiągnąć trwałą, wczesną persystencję (bootkit).
  • Termin KEV: dodane 14.10 → due 04.11.2025 (wpis CISA odnotowany w NVD).
  • Działania: aktualizacja do IGEL OS v11+; wymuszenie poprawnego łańcucha zaufania i weryfikacji podpisów.

3) CVE-2025-59230 — Windows RASMAN (Elevation of Privilege)

  • Typ/efekt: Improper Access Control → lokalne EoP do SYSTEM.
  • Wektor: lokalny, niski poziom złożoności (AC:L).
  • Działania: wdrożyć poprawki z październikowego Patch Tuesday; uzupełnić detekcje na nietypowe użycia usług RAS.

4) CVE-2016-7836 — SKYSEA Client View (RCE)

  • Typ/efekt: Improper Authentication w połączeniu TCP z konsolą zarządzającą → RCE bez uwierzytelnienia; CVSS 3.x: 9.8 (CRITICAL).
  • Status KEV: dodane 14.10.2025 z terminem 04.11.2025.
  • Działania: aktualizacja powyżej wersji 11.221.03; segmentacja sieci, ograniczenie dostępu do portów zarządzania.

5) CVE-2025-6264 — Rapid7 Velociraptor (default permissions)

  • Typ/efekt: artefakt Admin.Client.UpdateClientConfig nie wymagał dodatkowego uprawnienia; użytkownik z rolą Investigator mógł zdalnie zaktualizować konfigurację klienta i wykonać polecenia → przejęcie endpointu.
  • Kontekst nadużyć: wykorzystywane w realnych atakach (m.in. kampanie ransomware); wpis do KEV z terminem 04.11.2025.
  • Działania: aktualizacja do wersji z łatką; przegląd ról/uprawnień i artefaktów; telemetria na „nietypowe” aktualizacje konfiguracji klienta.

Praktyczne konsekwencje / ryzyko

  • Łańcuchy ataków mieszanych: lokalne EoP w Windows (CVE-2025-59230, CVE-2025-24990) świetnie łączą się z ucieczkami z przeglądarek/aplikacji jako etap 2 eskalacji.
  • Uderzenie w kontrolę rozruchu: obejście Secure Boot (IGEL) umożliwia „pre-EDR” trwałość — klasyczne narzędzie APT i operatorów ransomware.
  • Nadużywanie narzędzi „dobrych”: Velociraptor w rękach napastnika zmniejsza szanse detekcji (Living-off-the-Land Tooling).
  • Dziedzictwo w środowisku: stary SKYSEA (2016) pokazuje, że legacy potrafi wrócić jako „nowo” eksploatowane, jeśli pozostało w ekosystemie.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytet łatania do 4 listopada 2025 (lub szybciej w środowiskach wysokiego ryzyka):
    • Windows: wdrożyć pełny zestaw poprawek z Patch Tuesday (X.2025); osobno usunąć/wyłączyć sterownik Agere tam, gdzie niepotrzebny.
    • IGEL OS: aktualizacja do v11+, weryfikacja implementacji Secure Boot, odświeżenie kluczy.
    • Velociraptor: aktualizacja do wersji z łatką; przegląd ról (odebranie zbędnego COLLECT_CLIENT), ograniczenie artefaktów administracyjnych; monitorowanie nietypowych update’ów konfiguracji.
    • SKYSEA: aktualizacja powyżej 11.221.03; izolacja hostów zarządzania; wymuszenie TLS i list ACL na portach zarządzania.
  2. Detekcja i hunting (propozycje szybkich use-case’ów):
    • Windows EoP: nietypowe uruchomienia/usługi RAS, anomalie w sterownikach, ładowanie ltmdm64.sys (Agere).
    • IGEL: integralność łańcucha rozruchu, zmiany w partycji rozruchowej, niestandardowe obrazy SquashFS.
    • Velociraptor: zdarzenia „UpdateClientConfig”, modyfikacje polityk klienta, uruchomienia powłoki/VS Code z procesu agenta.
  3. Higiena uprawnień i ekspozycji: minimalizacja ról „Investigator” w Velociraptorze; ograniczenie dostępu do konsol (SKYSEA) sieciowo i VPN; app allow-listing dla narzędzi z uprawnieniami systemowymi.
  4. Zarządzanie ryzykiem dostawców/OT: jeśli używasz IGEL lub SKYSEA w środowiskach kiosków/terminali/OT, zaplanuj okno serwisowe i rollback plan — obejście Secure Boot w terminalach może zniweczyć kontrolę zaufania na brzegu.

Różnice / porównania z innymi przypadkami

  • Stara luka, nowe nadużycia: CVE-2016-7836 (SKYSEA) przypomina inne „archeologiczne” wpisy KEV — podatności latami „znane”, ale wciąż wykorzystywane tam, gdzie oprogramowanie przetrwało w niszach.
  • LOLBIN vs. LOTool: w 2024–2025 dużo mówiliśmy o LOLBIN-ach; przypadek Velociraptora to LOTool — legalne narzędzie admina użyte jako wektor ataku (podobnie jak nadużycia RMM/EDR).

Podsumowanie / kluczowe wnioski

  • KEV = kolejka „MUST-DO”: pięć nowych pozycji to czytelny backlog na najbliższe dni.
  • Zwróć uwagę na łańcuch startowy i narzędzia admina (IGEL, Velociraptor) — to wektory o wysokiej wartości dla napastników.
  • Nie zapominaj o legacy: nawet „odległe” CVE (SKYSEA 2016) wracają, jeśli produkt nadal żyje w środowisku.
  • Termin dla FCEB: 4 listopada 2025 — rozsądny SLA także dla sektora prywatnego.

Źródła / bibliografia

  1. CISA — Strona główna (zapowiedź alertu z 14.10.2025). (CISA)
  2. NVD (NIST)CVE-2016-7836 (SKYSEA) — opis, CVSS 9.8, wpis do KEV z terminem 04.11.2025. (NVD)
  3. NVD (NIST)CVE-2025-59230 (Windows RASMAN) — opis EoP. (NVD)
  4. NVD (NIST)CVE-2025-6264 (Rapid7 Velociraptor) — opis błędnych uprawnień. (NVD)
  5. NVD/CVE.org / analizy Patch TuesdayCVE-2025-24990 (Agere driver) — rekord CVE; dodatkowy kontekst eksploatacji i rekomendacji z przeglądu Patch Tuesday (Tenable). (CVE)

Tajwan: NSB raportuje skok ataków cybernetycznych i operacji wpływu z Chin (2025)

Wprowadzenie do problemu / definicja luki

Tajwańskie Biuro Bezpieczeństwa Narodowego (NSB) przedstawiło parlamentowi raport o gwałtownym wzroście aktywności cybernetycznej i operacji wpływu przypisywanych Chinom. Administracja rządowa notuje średnio 2,8 mln prób naruszeń dziennie w 2025 r., co oznacza wzrost o 17% r/r. Główne cele to obronność, telekomunikacja, energia i systemy medyczne. Równolegle obserwowany jest rozwój „armii trolli” i kampanii dezinformacyjnych, coraz częściej wspieranych generatywną AI.

W skrócie

  • Skala: 2,8 mln zdarzeń/dzień w sieciach rządowych; +17% vs 2024.
  • Vektory: spear-phishing, exploity dnia zerowego/„niskiego dnia”, lateral movement, living-off-the-land (LOTL), ataki na łańcuch dostaw i konta chmurowe. (Wnioski na podstawie trendów PRC APT i raportów branżowych).
  • IO/psychowojna: skoordynowane sieci kont, memy i treści krótkie, narracje antyrządowe i anty-USA, rosnące użycie GenAI.
  • Cele sektorowe: obrona, telekom, energia, zdrowie – zarówno szpiegostwo, jak i przygotowanie pod operacje zakłócające.
  • Geopolityka: eskalacja oskarżeń dwustronnych PRC–TWN; incydenty informacyjne wykorzystywane do presji politycznej.

Kontekst / historia / powiązania

Wzmożona aktywność Chin wobec Tajwanu trwa od lat, ale 2024–2025 przyniosły intensyfikację działań: od kampanii dezinformacyjnych w cyklu wyborczym po działania psychologiczne i „nazywanie po nazwisku” przeciwników informacyjnych. Równocześnie Taipei publicznie ostrzegało, że Pekin wykorzystuje generatywne AI do skalowania wpływu w mediach społecznościowych i obniżania zaufania do sojuszu z USA.

Google TAG od lat śledzi sieć DRAGONBRIDGE (Spamouflage) – rozległy ekosystem pro-PRC, który rozlewa się na wiele platform. Mimo niskiego organicznego zaangażowania treści, skala i upór aktora czynią go użytecznym narzędziem saturującym informacyjnie przestrzeń publiczną.

Analiza techniczna / szczegóły luki

TTPs obserwowane/oczekiwane w tym kontekście:

  1. Wejście początkowe: spear-phishing z załącznikami Office/OneNote, linki do hostów złośliwych, nadużycia OAuth, ataki na słabe MFA/bez-MFA; zewnętrzne exploity w VPN/WAF/NGFW. (Uogólnienie na bazie kampanii PRC APT z ostatnich lat.)
  2. Utrzymanie i eskalacja: web-shell’e (np. China Chopper-like), implanty bezplikowe, LOLBins (PowerShell, WMI), kradzież tokenów chmurowych.
  3. Ruch boczny: RDP/SMB, nadużycia AD (DCSync, Golden/Silver Tickets), tunelowanie przez serwery C2 w chmurze.
  4. Cele danych: systemy rządowe i rejestry medyczne (PII/PHI), planowanie obronne, konfiguracje sieci krytycznych.

Warstwa informacyjna (IO):

  • Produkcja treści: krótkie wideo, memy, grafiki – coraz częściej generowane LLM/AI, co ułatwia lokalizację narracji.
  • Dystrybucja: wieloplatformowe sieci kont, cross-postowanie i „podsłony” kont, które TAG cyklicznie usuwa (np. aktywność DRAGONBRIDGE).
  • Narracje: krytyka władz Tajwanu, zniechęcanie do współpracy z USA, wzmacnianie treści pro-Pekin.

Praktyczne konsekwencje / ryzyko

  • Ryzyko operacyjne dla sektora publicznego: większe prawdopodobieństwo wycieku danych obywateli i informacji wrażliwych dot. obronności.
  • Krytyczna infrastruktura: ryzyko pre-positioning (zakładanie przyczółków na wypadek kryzysu), które może skutkować zakłóceniami w telekomunikacji, energii lub służbie zdrowia.
  • Środowisko informacyjne: obniżanie zaufania społecznego przez kampanie IO, trudniejsze różnicowanie prawdy/fałszu z powodu GenAI.
  • Ryzyko reputacyjne i prawne: eskalacja oskarżeń PRC↔TWN tworzy presję na transparentność i zgodność działań cyber w instytucjach publicznych i firmach współpracujących z rządem.

Rekomendacje operacyjne / co zrobić teraz

  1. Twardnienie dostępu:
    • Wymuszaj FIDO2/Passkeys + politykę „phishing-resistant MFA”; blokuj starsze protokoły (IMAP/POP).
    • Wdrażaj Conditional Access i segmentację dostępu uprzywilejowanego (PAW).
  2. Higiena chmurowa:
    • Monitoruj tokeny odświeżania, nadużycia OAuth, nieużywane aplikacje enterprise; rotuj klucze i sekretne zasoby regularnie.
  3. Patching priorytetowy:
    • „Top 10” ekspozycji perymetru: VPN, e-mail gateways, WAF/NGFW, publikowane serwisy IIS/Apache/Nginx; SLA <7 dni dla krytyków, <24 h przy exploitach „na wolności”.
  4. Detection & Response:
    • Reguły EDR/XDR dla LOLBins (PowerShell/WMI), token-theft, anomalii OAuth, nietypowego użycia certyfikatów i Mimikatz-like; hunt na web-shelle w katalogach niestandardowych.
    • Telemetria DNS/HTTP dla C2 w chmurze (VPS, storage, CDN) i rotating domains.
  5. Ochrona danych i ciągłość:
    • Segmentacja sieci, backup 3-2-1 + testy odtworzeniowe, szyfrowanie PII/PHI w spoczynku i w ruchu.
  6. Odporność informacyjna:
    • Playbooki reagowania na dezinformację: szybkie dementi, „prebunking” narracji, znakowanie treści syntetycznych, współpraca z platformami ds. nadużyć.
  7. Ćwiczenia i testy:
    • Purple-team z TTP aktorów PRC (spear-phish → web-shell → AD); testy tabletop z wątkiem IO (kto komunikuje co, kiedy i jak).
  • Tajwan vs. Zachód: część TTP (phishing, exploity perymetru) jest wspólna, ale skala i intensywność IO wobec Tajwanu jest wyższa ze względu na bliskość geopolityczną i długotrwały spór o suwerenność.
  • Rok 2025 vs. 2024: wzrost wolumenu ataków o ~17% i wyraźniejsze ślady użycia GenAI po stronie przeciwnika.

Podsumowanie / kluczowe wnioski

Tajwan raportuje rekordową presję w cyberprzestrzeni: miliony prób naruszeń dziennie oraz skoordynowane operacje wpływu, coraz częściej wsparte generatywną AI. Dla podmiotów publicznych i operatorów krytycznych to sygnał do podniesienia gotowości – od MFA odpornego na phishing, przez przyspieszone łatanie perymetru i zaawansowany hunting, po procedury reagowania na dezinformację i „prebunking”.

Źródła / bibliografia

  • The Record by Recorded Future – „Taiwan reports surge in Chinese cyber activity and influence operations”, 14 października 2025. (The Record from Recorded Future)
  • Reuters – „Taiwan flags rise in Chinese cyberattacks, warns of 'online troll army’”, 14 października 2025. (Reuters)
  • Taipei Times – „Government network hit by over 2.8 million cyberattacks a day”, 13–14 października 2025. (Taipei Times)
  • Google Threat Analysis Group (TAG) – „New efforts to disrupt DRAGONBRIDGE spam activity”, 26 czerwca 2024. (blog.google)
  • Reuters – „Taiwan says China using generative AI to ramp up disinformation…”, 8 kwietnia 2025. (Reuters)

Harvard pierwszą potwierdzoną ofiarą ataku z wykorzystaniem zero-day w Oracle E-Business Suite

Wprowadzenie do problemu / definicja luki

Harvard University potwierdził, że padł ofiarą kampanii cyberprzestępczej wymierzonej w system Oracle E-Business Suite (EBS), gdzie wykorzystano krytyczną podatność typu zero-day. Na stronie wycieku Cl0p opublikowano ponad 1 TB danych rzekomo wykradzionych z Harvardu, co czyni tę instytucję pierwszą oficjalnie potwierdzoną ofiarą głośnej fali ataków na EBS.

W skrócie

  • Cel: środowiska Oracle E-Business Suite (12.2.x).
  • Luka: CVE-2025-61882 – zdalna, bez uwierzytelniania, umożliwiająca RCE; wykorzystywana w atakach przed publikacją poprawek. Oracle wydał pilny alert bezpieczeństwa.
  • Skala: według Google/Mandiant – dziesiątki organizacji objęte szeroko zakrojoną kampanią wymuszania okupu.
  • Status Harvardu: uczelnia potwierdziła incydent i prowadzi dochodzenie; dotknięta ma być „ograniczona liczba podmiotów” powiązanych z niewielką jednostką administracyjną.
  • Dalsze ryzyko: CISA dodała CVE-2025-61882 do katalogu KEV (aktywnie wykorzystywane luki) – natychmiastowe łatanie jest priorytetem.

Kontekst / historia / powiązania

Google Threat Intelligence i Mandiant od 29 września 2025 r. śledzą falę e-maili szantażowych kierowanych do kadry kierowniczej organizacji z informacją o kradzieży danych z EBS. Kampania była aktywna jeszcze przed udostępnieniem łat i – według badań – mogła rozpocząć się nawet kilka tygodni wcześniej. Przestępcy powołują się na markę Cl0p; obserwowane TTP wskazują na wyspecjalizowane grupy zajmujące się włamaniami do systemów pośrednich/ERP.

Analiza techniczna / szczegóły luki

CVE-2025-61882 (Oracle E-Business Suite)
Oracle opisuje podatność jako możliwą do wykorzystania zdalnie i bez uwierzytelnienia, potencjalnie prowadzącą do zdalnego wykonania kodu (RCE). Atak odbywa się „przez sieć” i nie wymaga konta w systemie, co znacznie ułatwia wyzyskanie przez skanery i botnety. Oracle opublikował dedykowany alert z instrukcjami łatania.

CVE-2025-61884 (Oracle EBS Runtime UI – ujawnienie informacji)
Równolegle Oracle wydał awaryjną poprawkę dla kolejnej luki w EBS (12.2.3–12.2.14), która może ułatwiać dostęp do wrażliwych zasobów (eskalacja skutków kradzieży danych/rekonesans). Obie luki razem zwiększają powierzchnię ataku i ułatwiają łańcuchy eksploatacji.

Dowód aktywnej eksploatacji (KEV)
Wpis CISA KEV dla CVE-2025-61882 formalnie potwierdza eksploatację „in the wild” i nakłada presję na szybkie wdrożenie poprawek przez instytucje publiczne i operatorów usług kluczowych.

Praktyczne konsekwencje / ryzyko

  • Ryzyko masowej eksfiltracji danych ERP: moduły EBS (finanse, HR, łańcuch dostaw) zawierają dane wysoko wrażliwe; kompromitacja jednego komponentu może skutkować hurtową kradzieżą rekordów i dokumentów. Potwierdza to przypadek Harvardu (publikacja 1+ TB danych na stronie wycieku).
  • Ryzyko wtórnych włamań: wyciek kont/kluczy integracyjnych z EBS może umożliwiać lateral movement do innych systemów (CRM/HR/finanse). Wnioski z analizy Google/Mandiant wskazują na charakter kampanii „data theft + extortion”.
  • Ryzyko operacyjne: nawet krótkie okno między publikacją PoC (lub prywatnego exploita) a instalacją poprawek wystarcza do automatycznych skanów i przejęć serwerów EBS wystawionych do Internetu. CISA klasyfikuje tę lukę jako aktywnie wykorzystywaną.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast patchować: zastosować poprawki z alertów Oracle dla CVE-2025-61882 i CVE-2025-61884 na wszystkich wspieranych wersjach EBS (12.2.3–12.2.14). Priorytet dla serwerów dostępnych z Internetu/VPN.
  2. Izolacja i ekspozycja: ograniczyć publiczną ekspozycję EBS (WAF, IP allow-list, TLS mTLS, ZTNA), rozdzielić strefy zgodnie z zasadą najmniejszych uprawnień. (Wniosek na bazie charakterystyki luki—zdalna, bez uwierzytelnienia.)
  3. Telemetria i hunting:
    • przejrzeć logi HTTP/Reverse Proxy pod kątem anomalii do końca lipca 2025 r. (GTIG raportuje wcześniejszą aktywność kampanii),
    • szukać masowych transferów, niespodziewanych jobów EBS/Concurrent Processing i nietypowych plików w katalogach aplikacyjnych.
  4. IR i ocena wycieku: jeśli EBS był dostępny z Internetu, założyć kompromitację i przeprowadzić post-exfiltration IR (rotacja kluczy integracyjnych, wymuszenie SSO/MFA, przegląd ról, DLP). (Wniosek wynikający z potwierdzonej eksfiltracji danych w Harvardzie).
  5. Zgodność i notyfikacje: sprawdzić obowiązki prawne (np. zgłoszenia naruszeń, informowanie partnerów), biorąc pod uwagę charakter danych ERP. (Rekomendacja ogólna wynikająca z klasy danych ujawnianych w tej kampanii).

Różnice / porównania z innymi przypadkami

W odróżnieniu od wcześniejszych fal wymuszeń na łańcuchu dostaw (np. kampanie wymierzone w MFT czy oprogramowanie backupowe), obecna kampania atakuje rdzeniowy system ERP (EBS), co bezpośrednio przekłada się na hurtowy dostęp do danych biznesowych. Również nietypowa jest szybka sekwencja dwóch alertów Oracle (RCE i ujawnienie informacji), co sugeruje intensywny rekonesans napastników i/lub odkrywanie kolejnych wektorów w tej samej powierzchni aplikacyjnej.

Podsumowanie / kluczowe wnioski

  • Atak na Oracle EBS z wykorzystaniem CVE-2025-61882 ma charakter szerokiej kampanii; Harvard to pierwsza publicznie potwierdzona ofiara z >1 TB danych na stronie wycieku.
  • Łatanie i twardnienie EBS to priorytet dnia dzisiejszego; CISA klasyfikuje lukę jako aktywnie wykorzystywaną (KEV).
  • Organizacje powinny przyjąć założenie o możliwej eksfiltracji i prowadzić hunting wsteczny co najmniej od końca lipca/września 2025 r., zgodnie z ustaleniami GTIG/Mandiant.

Źródła / bibliografia

  • SecurityWeek: Harvard Is First Confirmed Victim of Oracle EBS Zero-Day Hack (14 października 2025). (SecurityWeek)
  • The Record: Harvard says ‘limited number of parties’ impacted by breach linked to Oracle zero-day (13 października 2025). (The Record from Recorded Future)
  • Oracle Security Alert – CVE-2025-61882 (RCE, EBS). (Oracle)
  • Oracle Security Alert – CVE-2025-61884 (ujawnienie informacji, EBS Runtime UI). (Oracle)
  • Google Threat Intelligence: Oracle E-Business Suite Zero-Day Exploited in Extortion Campaign (9 października 2025). (Google Cloud)

SAP łata krytyczne luki w NetWeaver AS Java, Print Service (SAPSprint) i SRM — październikowy Patch Day 2025

Wprowadzenie do problemu / definicja luk

SAP opublikował październikowy zestaw poprawek bezpieczeństwa, obejmujący łącznie kilkanaście nowych i zaktualizowanych not Security Notes. Wśród nich znajdują się trzy krytyczne luki: maksymalnie poważna podatność w NetWeaver AS Java (RMI/P4 — insecure deserialization), krytyczne obejście ścieżek (directory traversal) w SAP Print Service / SAPSprint, oraz poważna podatność w SAP SRM umożliwiająca nieautoryzowany upload plików.

W skrócie

  • NetWeaver AS Java (RMI/P4): luka klasy insecure deserialization, CVSS 10.0 — umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Wymaga natychmiastowej aktualizacji.
  • SAP Print Service / SAPSprint: directory traversal (CVSS 9.8) — atakujący bez uwierzytelnienia może nadpisywać pliki systemowe na serwerze wydruku; SAP Note 3630595. W niektórych źródłach powiązana z CVE-2025-42937.
  • SAP SRM: podatność arbitrary file upload; brak obejścia — konieczna instalacja poprawki (np. SAP Note 3647332).

Kontekst / historia / powiązania

W ostatnich miesiącach ekosystem SAP obserwował falę krytycznych poprawek (m.in. we wrześniu) oraz realne kampanie wykorzystujące luki w NetWeaver (np. CVE-2025-31324 wykorzystywane w atakach do instalacji backdoorów). Dzisiejszy Patch Day wpisuje się w trend priorytetowego łatania komponentów dostępnych z sieci i mechanizmów uploadu/serializacji.

Analiza techniczna / szczegóły luki

1) NetWeaver AS Java — RMI/P4 insecure deserialization (CVSS 10.0)

  • Wektor: sieciowy, brak uwierzytelnienia; podatny kanał RMI/P4 (AS Java).
  • Skutek: zdalne wykonanie poleceń na systemie operacyjnym (RCE).
  • Ryzyko: natychmiastowa eskalacja do pełnego przejęcia hosta aplikacyjnego.
  • Mitigacje czasowe: ograniczenie / filtrowanie dostępu do RMI/P4 wyłącznie z zaufanych podsieci; segmentacja; WAF/IPS z sygnaturami pod deserialization.
    Fakty i parametry potwierdza bieżące omówienie Patch Day.

2) SAP Print Service / SAPSprint — directory traversal (CVSS 9.8) — SAP Note 3630595

  • Komponent: SAP Print Service (SAPSprint) — serwer zdalnego drukowania (często na Windows).
  • Wektor: brak uwierzytelnienia; manipulacja ścieżką (path traversal) pozwala na „climbing” katalogów i nadpisanie plików systemowych.
  • Skutek: naruszenie C/I/A — od wycieku po trwałe uszkodzenie systemu, możliwość eskalacji i utrwalania dostępu.
  • CVE: źródła branżowe mapują tę lukę do CVE-2025-42937 (nomenklatura może się różnić między vendorami).
  • FAQ/uwagi: SAP opublikował dodatkowy FAQ Note do tej poprawki.

3) SAP SRM — arbitrary file upload (np. SAP Note 3647332)

  • Wektor: przesył plików w wybranych komponentach SRM; brak wystarczających walidacji.
  • Skutek: możliwość umieszczenia i wykonania złośliwych artefaktów w kontekście aplikacji, prowadząca do przejęcia systemu lub pivotu.
  • Workaround: brak skutecznych obejść — wymagane natychmiastowe wdrożenie noty.

Praktyczne konsekwencje / ryzyko

  • RCE i trwałe przejęcie serwerów aplikacyjnych (AS Java) oraz nadpisanie krytycznych plików (SAPSprint) mogą skutkować paraliżem usług biznesowych, utratą danych i szantażem ransomware.
  • Łańcuchowanie: upload w SRM ⇒ implant web-shell ⇒ ruch boczny do AS Java ⇒ wykorzystanie RMI/P4 ⇒ dominacja domeny / chmury.
  • Ekspozycja z Internetu: serwisy drukowania i RMI/P4 ujawnione do sieci publicznej znacząco zwiększają prawdopodobieństwo skanu i szybkiej eksploatacji po publikacji poprawek.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytetyzuj patching:
    • NetWeaver AS Java (RMI/P4 deserialization — CVSS 10.0) — natychmiast.
    • SAP Print Service / SAPSprint — SAP Note 3630595 — w ciągu 24 godzin.
    • SAP SRM — SAP Note 3647332 — pilnie, brak obejść.
  2. Doraźne redukcje ryzyka (gdy patch w toku):
    • Ogranicz dostęp do RMI/P4 i SAPSprint do zaufanych adresów/VPN; zablokuj z Internetu.
    • Włącz reguły IPS/WAF na deserialization, path traversal i file-upload; monitoruj anomalie I/O dysku.
    • Ustaw aplikacyjne allow-listy dla formatów i lokalizacji uploadu (SRM).
  3. Detekcja i IR:
    • Przejrzyj logi dla RMI/P4, ścieżek drukowania i katalogów uploadu; szukaj nietypowych ścieżek z sekwencjami traversal (np. niestandardowe .../...//).
    • Wykonaj integrity check krytycznych plików na serwerach wydruku (Windows), porównując z kopią wzorcową.
    • Jeśli ekspozycja była publiczna, załóż naruszenie i wykonaj threat hunting (web-shells, niepodpisane binaria, schedule tasks).
  4. Zarządzanie podatnościami:
    • Zweryfikuj wszystkie SAP Security Notes z dzisiejszego Patch Day i plan aktualizacji (produkcyjne / non-prod).
    • Upewnij się, że Support Packages i kernel są zgodne z wymaganiami not.

Różnice / porównania z innymi przypadkami

  • RMI/P4 deserialization (AS Java) różni się od niedawnej luki CVE-2025-31324 (Visual Composer uploader) — obie skutkują RCE, ale pierwsza atakuje kanał zdalnego wywołania (serializacja), druga nadużywa mechanizmu uploadu. To inne wektory, mogą jednak być łańcuchowane.
  • SAPSprint traversal to atak na komponent drukowania (często Windows) — jego implikacje (nadpisanie plików) są bardziej „systemowe” niż typowe błędy w warstwie SAP ABAP/Java.

Podsumowanie / kluczowe wnioski

  • Październikowy Patch Day SAP przynosi krytyczne poprawki, z których NetWeaver AS Java (CVSS 10.0) oraz SAPSprint (CVSS 9.8) wymagają natychmiastowych działań, a SRM nie ma obejść poza instalacją poprawek.
  • Organizacje powinny patchować w pierwszej kolejności komponenty sieciowo dostępne, ograniczyć ekspozycję i wdrożyć monitoring anomalii plikowych na serwerach drukowania.

Źródła / bibliografia

  • SecurityWeek: „SAP Patches Critical Vulnerabilities in NetWeaver, Print Service, SRM” (14.10.2025). (SecurityWeek)
  • SAP Support Portal: „Security Patch Day — October 2025” (14.10.2025). (SAP Support Portal)
  • Onapsis Research Labs: „SAP Security Patch Day — October 2025” (analiza, Note 3630595, SAPSprint). (Onapsis)
  • SecurityBridge: „SAP Security Patch Day — October 2025” (Note 3630595 i 3647332 — SRM). (SecurityBridge)
  • RedRays: „October 2025 — Critical Updates” (CVE-2025-42937 / CVSS 9.8 dla Print Service). (RedRays – Your SAP Security Solution)