Archiwa: VPN - Strona 67 z 81 - Security Bez Tabu

Tag: VPN

Logitech potwierdza naruszenie danych po ataku wymuszeniowym Cl0p — powiązanie z zerodayem Oracle E-Business Suite

Wprowadzenie do problemu / definicja luki

Logitech poinformował o incydencie bezpieczeństwa zakończonym kradzieżą danych. Firma wskazała, że atakujący wykorzystali podatność typu zero-day w oprogramowaniu podmiotu trzeciego; produkty, operacje biznesowe i produkcja nie zostały zakłócone. Według zgłoszenia 8-K do amerykańskiej SEC, wyciek obejmuje „ograniczone informacje” o pracownikach i konsumentach oraz dane dotyczące klientów i dostawców; w systemie objętym incydentem nie przechowywano wrażliwych identyfikatorów (np. numerów dowodów) ani danych kart płatniczych.

Incydent koreluje w czasie z trwającą kampanią wymuszeniową grupy Cl0p, która od końca września wysyła do organizacji maile o rzekomej kradzieży danych z systemów Oracle E-Business Suite (EBS) i publikuje wpisy ofiar na swojej stronie. Logitech został wymieniony na tej liście.

W skrócie

  • Atakujący: CL0P (operacja wymuszeniowa ukierunkowana na EBS).
  • Wektor: krytyczna luka CVE-2025-61882 w Oracle E-Business Suite — zdalne wykonanie kodu bez uwierzytelnienia; Oracle wydał pilny alert i łatkę.
  • Wpływ na Logitech: kradzież niektórych danych (pracownicy, konsumenci, klienci, dostawcy); brak wskazań na wyciek kart/ID; brak wpływu na produkcję i operacje.
  • Skala kampanii: dziesiątki organizacji (media, lotnictwo, uczelnie, sektor publiczny).

Kontekst / historia / powiązania

Google Threat Intelligence (GTIG) i Mandiant od 29 września 2025 r. śledzą falę maili wymuszeniowych powiązanych z marką Cl0p, w których przestępcy twierdzili, że z eksploatowanych instancji Oracle EBS wykradli „wrażliwe dane”. 5–6 października Oracle potwierdził zero-day i opublikował nadzwyczajny Security Alert dla CVE-2025-61882. W kolejnych tygodniach pojawiały się potwierdzenia ofiar (m.in. Envoy Air, The Washington Post).

BleepingComputer powiązał wpis Cl0p o Logitech z opublikowanym formularzem 8-K, co uwiarygadnia związek incydentu z tą kampanią.

Analiza techniczna / szczegóły luki

CVE-2025-61882 (Oracle E-Business Suite)

  • Klasa: RCE bez uwierzytelnienia (zdalnie, przez sieć), możliwe przejęcie kontekstu aplikacji.
  • Produkty: komponenty EBS (dot. m.in. integracji BI Publisher/Concurrent Processing).
  • Wymagane uprawnienia: brak.
  • Skutki: odczyt/eksfiltracja danych, możliwość wykonania arbitralnego kodu na serwerze aplikacyjnym, a w dalszym łańcuchu — pivote do baz danych i systemów back-office.

Analizy branżowe (CrowdStrike, SecurityWeek) wskazywały, że kampania masowo wykorzystywała tę lukę do kradzieży danych, a pierwsze ślady działań mogły sięgać sierpnia 2025 r. (przed publiczną łatką).

Prawdopodobny łańcuch ataku (model odniesiony do EBS/BI Publisher):

  1. Skany publicznie dostępnych endpointów EBS (np. ścieżki powiązane z BI Publisher / Concurrent Requests).
  2. Wstrzyknięcie ładunku przez niebezpiecznie obsługiwane parametry XML/XSLT/SSRF w BI Publisher, prowadzące do wykonania XSLT lub kodu w kontekście aplikacji.
  3. Eksfiltracja przez kanały HTTP(S) z serwera aplikacyjnego bez szyfrowania danych w spoczynku (zależne od konfiguracji organizacji).
  4. Wiadomości wymuszeniowe do kadry zarządzającej (z groźbą publikacji danych) i wpis na stronie Cl0p.

Uwaga: powyższy łańcuch jest techniczną rekonstrukcją na bazie publicznych raportów o BI Publisher i CVE-2025-61882 — szczegóły wdrożeń mogą się różnić między ofiarami.

Praktyczne konsekwencje / ryzyko

  • Ryzyko wtórne dla łańcucha dostaw: nawet jeśli system objęty incydentem nie zawierał danych kart/ID (jak deklaruje Logitech), przechowywane tam „informacje ograniczone” o klientach/dostawcach mogą posłużyć do spear-phishingu BEC, podszyć kontraktowych i nadużyć kredytowych.
  • Ryzyko reputacyjne i prawne: wpis na stronie Cl0p oraz wysyłka maili do zarządów zwiększają presję negocjacyjną; część organizacji informuje o incydencie prewencyjnie, nawet jeśli wpływ operacyjny był niewielki.
  • Ekspozycja sektorowa: dotknięte media, lotnictwo, edukacja, administracja; lista ofiar stale się rozszerza.

Rekomendacje operacyjne / co zrobić teraz

Pilne (0–24 h):

  1. Zweryfikuj ekspozycję EBS: zidentyfikuj publiczne hosty EBS/BI Publisher; jeśli niezbędne — tymczasowo odetnij dostęp publiczny (WAF/VPN) do czasu weryfikacji poprawek.
  2. Zastosuj łatkę Oracle dla CVE-2025-61882 na wszystkich wspieranych wersjach EBS; potwierdź zgodność poziomu RU/CPU.
  3. Hunting artefaktów (przykłady zapytań):
    • HTTP access logs (nginx/Apache/WLS): szukaj podejrzanych żądań do endpointów BI Publisher/Concurrent Processing (nietypowe parametry XML/XSLT, duże payloady).
    • Przykład — Splunk: index=web sourcetype=access_combined (uri_path="*/xmlpserver/*" OR uri_path="*/OA_HTML/*" OR uri_path="*/reports/*") | stats count BY src, uri_path, http_method, user_agent | sort -count
    • Podejrzane kody odpowiedzi (500/502 po POSTach) oraz duże czasy odpowiedzi — koreluj z outboundami do nieznanych domen.
  4. Zablokuj znane TTP: WAF rule na anomalne nagłówki/parametry XML/XSLT w BI Publisher; egresowe reguły FW/DNS sinkhole dla hostów niezatwierdzonych.
  5. Zabezpiecz eksfiltrację: wymuś TLS z wzajemnym zaufaniem do systemów downstream; segmentacja serwera aplikacyjnego od baz danych.

Średni termin (1–2 tygodnie):

  • Pełny patch management Oracle EBS (również zależności JDK/WLS), testy regresyjne.
  • Inwentaryzacja integracji (EDI, SFTP, REST/SOAP) — ogranicz zakres i uprawnienia kont technicznych; rotacja haseł/kluczy.
  • Rozszerzone monitorowanie:
    • SIEM — detekcje na anomalne żądania BI Publisher, wzrost wolumenów załączników XML/XSLT.
    • NDR/IDS — sygnatury na charakterystyczne wzorce XSLT/SSRF (np. wywołania document()/zewnętrzne URI).
  • DLP na hostach aplikacyjnych (szablony dla danych kontraktowych/dostawców).

Długoterminowo:

  • Architektura „EBS za WAF+VPN/privatelink” — brak publicznego L7 dla interfejsów administracyjnych/raportowych.
  • Zero Trust dla aplikacji korporacyjnych (mTLS, device posture, RBAC granularny).
  • Ćwiczenia red/blue specyficzne dla ERP: scenariusze eksfiltracji raportów, nadużycia BI Publisher, łańcuchy do DB.

Różnice / porównania z innymi przypadkami Cl0p

Cl0p od lat wykorzystuje podatności 0-day w powszechnych systemach transferu/pliki/ERP, przechodząc od klasycznego szyfrowania do czystej kradzieży i wymuszenia. Podobnie jak w MOVEit Transfer (2023), faza masowej eksploatacji poprzedziła publikację łatki; lista ofiar była bardzo długa. W porównaniu z GoAnywhere/Accellion, obecna fala celuje w EBS (ERP), gdzie wolumen i wrażliwość danych biznesowych są z natury wysokie.

Podsumowanie / kluczowe wnioski

  • Logitech potwierdził kradzież danych i łączy incydent z wykorzystaniem zewnętrznego zero-day; wszystko wskazuje na związek z kampanią Cl0p na Oracle EBS.
  • CVE-2025-61882 umożliwia zdalne RCE bez uwierzytelnienia — priorytetowe łatanie i ograniczenie ekspozycji EBS do sieci zaufanych.
  • Nawet „ograniczony” wyciek może tworzyć poważne ryzyko wtórne dla łańcucha dostaw i klientów — potrzebne są działania komunikacyjne i kontrolne.

Źródła / bibliografia

  1. BleepingComputer — potwierdzenie incydentu Logitech i powiązanie z Cl0p. (BleepingComputer)
  2. SEC Form 8-K (14.11.2025) — oficjalne oświadczenie Logitech o incydencie, zakresie danych i braku wpływu na operacje. (SEC)
  3. Oracle Security Alert — CVE-2025-61882 (E-Business Suite, RCE bez uwierzytelnienia). (Oracle)
  4. Google Threat Intelligence / Mandiant — kampania wymuszeń Cl0p ukierunkowana na EBS od 29.09.2025. (Google Cloud)
  5. SecurityWeek / Reuters — skala ofiar, przykłady (Envoy Air, Washington Post). (Reuters)
  6. Analizy techniczne (CrowdStrike, Centripetal) — szczegóły wektora przez BI Publisher/Concurrent Processing. (crowdstrike.com)

Checkout.com: incydent z „legacy” chmurą, próba szantażu ShinyHunters i nietypowa odpowiedź firmy

Wprowadzenie do problemu / definicja luki

Globalny operator płatności Checkout.com ujawnił naruszenie danych po próbie szantażu. Atakujący uzyskali dostęp nie do platformy przetwarzania płatności, lecz do dziedziczonego („legacy”) zewnętrznego systemu plików w chmurze, używanego w okolicach 2020 r. – zbiory dotyczyły m.in. dokumentów operacyjnych i materiałów onboardingowych dla merchantów. Firma podkreśla, że środki klientów ani numery kart nie były zagrożone. Checkout.com zadeklarował, że nie zapłaci okupu, a równowartość żądania przekaże na badania nad cyberprzestępczością (CMU i Oxford).

W skrócie

  • Data ujawnienia: 12–14 listopada 2025 r. (oświadczenie CTO + publikacje branżowe).
  • Wektor: dostęp do niewłaściwie zdekomisjonowanego zewnętrznego systemu plików w chmurze („legacy, third-party cloud file storage”).
  • Zakres: firma szacuje, że dotyczy to <25% obecnej bazy merchantów; brak dostępu do środków i numerów kart.
  • Sprawcy/brand: roszczenia przypisała sobie grupa ShinyHunters; sprawa osadzona jest w szerszym trendzie Scattered LAPSUS$ Hunters (federacja ShinyHunters/LAPSUS$/Scattered Spider).
  • Postawa firmy: brak płatności okupu + deklaracja darowizny na badania (CMU, Oxford).

Kontekst / historia / powiązania

ShinyHunters to znana grupa wymuszająca publikację danych (data extortion), która w 2025 r. bywa łączona w szersze przedsięwzięcie komunikacyjne określane jako Scattered LAPSUS$ Hunters (SLH) – luźna federacja łącząca TTPs kilku głośnych grup, nastawiona na wykradanie danych i szantaż medialny, niekoniecznie szyfrowanie środowisk ofiary. Ten paradygmat opiera się na szybkiej eskalacji PR (leaki, witryny DLS, Telegram) i wykorzystaniu błędów operacyjnych ofiar (np. niewyłączone integracje, stare zasoby chmurowe).

W przypadku Checkout.com, pierwsze doniesienia branżowe potwierdziły extortion attempt oraz to, że nie chodzi o „core” platformę (acquiring/processing), tylko o poboczny, historyczny zasób w chmurze.

Analiza techniczna / szczegóły luki

„Zombie w chmurze”: jak powstaje luka

Najczęstsze przyczyny ekspozycji „legacy cloud file storage”:

  1. Niepełna utylizacja zasobu – bucket / storage account pozostaje aktywny po migracji.
  2. Słabe tożsamości/aplikacje – zapomniane konta serwisowe, klucze dostępu, stare tokeny OAuth/refresh.
  3. Niewłaściwe ACL/udostępnienia – publiczne linki, szerokie „AllUsers/AllAuthenticatedUsers”.
  4. Brak SPM (Secret/Key Management) – klucze w repo, w starych CI/CD, na share’ach.
  5. Shadow IT / „3rd-party sprawl” – vendorowe konta w chmurach, poza centralnym zarządzaniem.

Typowe artefakty i ścieżki dostępu

  • Obiekty: PDF/DOCX onboarding, KYC/KYB, eksporty CSV, zrzuty konfiguracji.
  • Ślady w logach: GetObject, ListBucket, GetBlob, File.Read z rzadkich agentów i nietypowych ASN/VPN.
  • Kanały exfilu: bezpośredni zrzut przez API, czasem via skrypty Rclone/gsutil/azcopy.

Dlaczego „brak kart” i „brak środków” ma sens

System plików pomocniczych zwykle nie przechowuje PAN/CVV ani nie ma połączeń do środowisk PCI (segmentacja). Jeżeli tokenizacja i vault są w osobnych, „hardened” domenach, ryzyko się ogranicza do danych biznesowych/handlowych i PII merchantów – wciąż wrażliwych pod kątem fraudu B2B, spear-phishingu i supply-chain. (Potwierdzenie deklaracji firmy o braku numerów kart i środków: patrz oświadczenie CTO).

Praktyczne konsekwencje / ryzyko

  • Ryzyko łańcucha dostaw (TPRM): wyciek onboardingowych pakietów merchantów ułatwia impersonację (np. faktury, zmiana rachunku, BEC) i fraud na wypłatach.
  • Ryzyko compliance: potencjalne RODO/UK-GDPR (PII merchantów/osób kontaktowych), obowiązki notyfikacyjne wobec regulatorów finansowych.
  • Ryzyko operacyjne: wzrost SOC-volume (skany, próby logowania, phishing), konieczność reissuance kluczy API/sekretów, rotacja danych KYC.
  • Ryzyko reputacyjne: presja mediów i klientów; atakujący wykorzystują „narrację” brandu SLH do eskalacji żądań.

Rekomendacje operacyjne / co zrobić teraz

Poniżej gotowa checklista do użycia z zespołem IR/SecOps/Cloud (AWS/Azure/GCP analogicznie):

1) Natychmiastowe działania IR

  • Zamroź dostęp do zidentyfikowanego zasobu (deny-all / private endpoint / off-board).
  • Rotacja sekretów: klucze dostępu, SAS tokens, service principals, OAuth/refresh tokens, webhooks w integracjach.
  • Kontakt do podmiotów dotkniętych (merchanci/partnerzy), wstępne zawężenie atrybutów danych (zakres, daty, typy plików).
  • Zgłoszenia do regulatorów i organów ścigania (w UE: 72h RODO, w finansach – właściwi regulatorzy).

2) Telemetria i hunting (przykłady)

AWS S3 (CloudTrail Lake / Athena)

-- enumeracja podejrzanych operacji z rzadkich ASN
SELECT eventTime, userIdentity.sessionContext.sessionIssuer.arn AS principal,
       sourceIPAddress, requestParameters.bucketName, eventName, userAgent
FROM cloudtrail_logs
WHERE eventSource='s3.amazonaws.com'
  AND eventName IN ('GetObject','ListBucket','GetObjectAcl')
  AND sourceIPAddress NOT LIKE '10.%'
  AND from_iso8601_timestamp(eventTime) >= timestamp '2025-10-15';

Azure Storage (Log Analytics / KQL)

StorageBlobLogs
| where OperationName in ("GetBlob","ListBlobs","GetBlobProperties")
| where TimeGenerated > ago(60d)
| summarize cnt=count(), ips=make_set(CallerIpAddress) by AccountName, PrincipalId, OperationName, bin(TimeGenerated, 1d)
| order by cnt desc

GCP Cloud Storage (Audit Logs / BigQuery)

SELECT protopayload_auditlog.authenticationInfo.principalEmail AS principal,
       protopayload_auditlog.requestMetadata.callerIp AS ip,
       protopayload_auditlog.methodName AS method,
       resource.labels.bucket_name AS bucket,
       timestamp
FROM `project.logging.cloudaudit_googleapis_com_data_access_*`
WHERE protopayload_auditlog.serviceName = 'storage.googleapis.com'
  AND protopayload_auditlog.methodName IN ('storage.objects.get','storage.objects.list')
  AND timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 60 DAY);

Sigma (uniwersalne) – masowe listowanie/eksfil plików przez „nietypowego” UA

title: Suspicious Cloud Object Bulk Access
logsource: category: webserver
detection:
  selection:
    cs-method|endswith:
      - GetObject
      - ListBucket
      - GetBlob
  filter_known_agents:
    cs-useragent:
      - 'aws-sdk/*'
      - 'Google-Cloud-Storage'
  condition: selection and not filter_known_agents
level: high

3) Twarde wyłączenie „martwych” zasobów w chmurze

  • Inwentaryzacja krzyżowa: CSPM + skanowanie API (np. aws s3 ls --profile legacy-account / az storage account list / gsutil ls -p <ID>).
  • Policy-as-code: globalne block public access, wymuszony KMS, lifecycle na auto-delete.
  • Kontrola tożsamości: znalezienie starych SP (az ad sp list --filter "appOwnerOrganizationId ne null" / przegląd IAM Roles bez rotacji).
  • „Third-party registry”: rejestr wszystkich zewnętrznych chmur/vendorów z cyklem życia i właścicielem (DPP – Data Processing Partners).

4) Komunikacja i PR bezpieczeństwa

  • Transparentne fakty techniczne (co, kiedy, czego nie obejmuje) – tak jak zrobił Checkout.com w swoim oświadczeniu.
  • Brak negocjacji na publicznych kanałach; zespół prawny monitoruje DLS/Telegram.
  • Oferta wsparcia dla dotkniętych partnerów (monitoring fraudu B2B, guidance dot. SPF/DKIM/DMARC, rotacja kluczy).

5) GRC i trwałe usprawnienia

  • Proces dekomisjonowania (runbook + kontrola dowodowa): owner → backup → wipe → tag „to-delete” → automatyczne zamknięcie IAM/Network → potwierdzenie (4-eyes).
  • TPRM: weryfikacja vendorów, szczególnie „third-party storage / file exchange”; audyty konfiguracji i SSO.
  • Table-top exercise dedykowany do data extortion bez szyfrowania.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Nie ransomware, a „pure data extortion”: brak szyfrowania, presja medialna + groźba publikacji.
  • Wejście przez „legacy third-party” vs. zero-day w core: ścieżka ataku omija „korowe” kontrole (PCI segment), wykorzystuje zapomniane peryferia.
  • Narracja SLH: federacyjny „brand” łączący TTPs i PR – widzieliśmy to przy kampaniach wymierzonych w integracje Salesforce w 2025 r. (publiczne „listy ofiar”, taktyki nagłaśniania).

Podsumowanie / kluczowe wnioski

  1. Największym ryzykiem nie był core processing, lecz „osierocone” zasoby chmurowe – klasyczny błąd operacyjny. 2) Dane onboardingowe i operacyjne mają znaczną wartość dla przestępców (fraud B2B, BEC, socjotechnika). 3) Model extortion-only wymaga osobnych playbooków IR (szybka inwentaryzacja danych, komunikacja, TPRM). 4) Decommissioning-by-design i centralny rejestr vendorów to obowiązkowy element higieny chmury. 5) Postawa „no-pay + darowizna” buduje narrację odporności, ale nie zastąpi twardych kontroli technicznych.

Źródła / bibliografia

  • Oświadczenie CTO Checkout.com (legacy 3rd-party storage, <25% merchant base, brak kart/środków, darowizna na CMU/Oxford). (Checkout)
  • SecurityWeek: podsumowanie incydentu i przypisanie do ShinyHunters, kontekst SLH. (SecurityWeek)
  • BleepingComputer: brak wskazania konkretnego dostawcy storage, potwierdzenie decyzji o darowiźnie zamiast okupu. (BleepingComputer)
  • The Register: relacja z cytatami deklaracji „We will not pay this ransom”. (The Register)
  • Trustwave SpiderLabs: analiza fenomenu Scattered LAPSUS$ Hunters i ich TTPs (kontekst kampanii 2025). (Trustwave)

Krytyczna luka „authentication bypass” w routerach ASUS DSL (CVE-2025-59367) — co musisz zrobić teraz

Wprowadzenie / definicja luki

ASUS potwierdził krytyczną podatność typu authentication bypass w wybranych modelach routerów z serii DSL. Luka CVE-2025-59367 pozwala zdalnemu, nieautoryzowanemu napastnikowi zalogować się do urządzenia bez podawania poprawnych poświadczeń — atak jest niskozłożony i nie wymaga interakcji użytkownika. Producent wydał firmware naprawczy 1.1.2.3_1010 m.in. dla DSL-AC51, DSL-N16 oraz DSL-AC750.

W skrócie (TL;DR)

  • CVE-2025-59367: krytyczny bypass autoryzacji w routerach ASUS DSL.
  • Modele: m.in. DSL-AC51, DSL-N16, DSL-AC750 (lista może być szersza; sprawdź stronę wsparcia swojego modelu).
  • Fix: zainstaluj firmware 1.1.2.3_1010 (jeśli dostępny dla Twojego modelu).
  • Jeśli nie możesz zaktualizować (EOL): wyłącz wszystkie usługi wystawione do Internetu (WAN admin, port forwarding, DDNS, VPN server, DMZ, port triggering, FTP) i wzmocnij hasła.

Kontekst / historia / powiązania

Routery SOHO są regularnie wykorzystywane do budowy botnetów DDoS. W 2025 r. CISA i badacze sygnalizowali kampanie przejmowania urządzeń ASUS przez zaawansowanych przeciwników (np. do tworzenia nowych botnetów), co podnosi ryzyko szybkiej weaponizacji świeżych luk. Dodatkowo w kwietniu 2025 ASUS łatał niezależną, krytyczną podatność w AiCloud (CVE-2025-2492), również umożliwiającą obejście autoryzacji.

Analiza techniczna / szczegóły luki

  • Identyfikator: CVE-2025-59367; klasyfikowana jako Authentication Bypass (CWE-288).
  • Skutek: zdalny dostęp do panelu administracyjnego bez ważnych poświadczeń → możliwość zmiany konfiguracji, wgrania własnych reguł, przekierowań portów, aktualizacji złośliwym firmware, a w efekcie pełnego przejęcia ruchu.
  • Złożoność: niska; brak interakcji użytkownika.
  • Modele/wersje: ASUS potwierdził problem w serii DSL; dla DSL-AC51/DSL-N16/DSL-AC750 dostępny jest firmware 1.1.2.3_1010. W innych modelach status zależy od strony wsparcia danego produktu.

Uwaga: Oficjalna karta CVE (NVD/CVE.org) wskazuje na sekcję „Security Update for DSL Series Router” w advisory ASUS jako źródło — warto weryfikować status konkretnego modelu w jego karcie wsparcia.

Praktyczne konsekwencje / ryzyko

  • Przejęcie urządzenia brzegowego: atakujący może skonfigurować proxy, przekierowania (port forwarding/DMZ), a nawet dodać złośliwe certyfikaty.
  • Podsłuch/mitm w sieci LAN/WLAN (kontrola DNS, statyczne trasy, reguły NAT).
  • Wpięcie do botnetu i wykorzystanie do wolumetrycznych DDoS lub pivotu do środowiska firmowego.
  • Utrudniona detekcja: wiele ataków na routery pozostaje niewidocznych w EDR/SIEM, bo urządzenia są poza zakresem telemetrii endpointowej.
    Te wektory są zgodne z dotychczasowymi nadużyciami błędów w routerach ASUS raportowanymi w 2025 r.

Rekomendacje operacyjne (co zrobić teraz)

1) Patch management

  • Wejdź na stronę wsparcia swojego modelu (np. DSL-AC51), pobierz najnowszy firmware (1.1.2.3_1010 jeśli wskazany dla modelu), zweryfikuj sumę i zaktualizuj przez panel Administration → Firmware Upgrade.

2) Natychmiastowe twardnienie (także dla EOL)

  • Wyłącz ekspozycję do Internetu (WAN): Remote Access from WAN, Administration over WAN, Port Forwarding, DDNS, VPN Server, DMZ, Port Triggering, FTP.
  • Ustaw silne, unikalne hasła dla admina i Wi-Fi, nie używaj ponownie poświadczeń.
  • Regularnie sprawdzaj dostępność nowych firmware’ów.

3) Szybkie testy bezpieczeństwa (z hosta w tej samej sieci i z zewnątrz)

# Z LAN: sprawdź czy panel nie jest przywiązany do 0.0.0.0/wan
nmap -p 80,443,22,21,8080,8443 192.168.1.1 -sV --script http-auth,ssl-cert

# Z zewnątrz (na VPS): upewnij się, że WAN nie wystawia panelu
nmap -Pn -p 80,443,8080,8443 <twoje_publiczne_IP> --reason

# Test podstawowej ochrony HTTP na panelu
curl -I http://192.168.1.1/ | sed -n '1,10p'

4) Monitorowanie i forensyka sieci domowej/małej firmy

  • Przejrzyj logi routera (szczególnie logowania, zmiany konfiguracji, nowe reguły NAT/port forwarding).
  • Zweryfikuj DNS (czy nie zmieniono na obce serwery), listę UPnP i DDNS.
  • Rozważ reset do fabrycznych + wgranie najnowszego firmware od razu po reboocie.

5) Segmentacja

  • Oddziel IoT/Wi-Fi gościnne od sieci produkcyjnej (VLAN/oddzielny SSID).
  • Zablokuj dostęp z VLAN IoT do panelu admina routera (ACL).

6) Polityka dla urządzeń EOL

  • Jeśli Twój model jest EOL i nie otrzyma poprawki — pozostaw go bez usług WAN lub wymień na wspierany. Rekomendowane przez ASUS kroki (wyłączenie usług WAN + mocne hasła) traktuj jako tymczasowe.

Różnice / porównania z innymi przypadkami (AiCloud — CVE-2025-2492)

  • CVE-2025-59367 (ten przypadek): dotyczy serii DSL; bypass autoryzacji prowadzący do nieuprawnionego dostępu do urządzenia.
  • CVE-2025-2492 (kwiecień 2025): dotyczył funkcji AiCloud w szerszym zakresie modeli; również umożliwiał obejście autoryzacji i wykonywanie funkcji bez uprawnień. W obu przypadkach ryzyko przejęcia admina jest wysokie, ale zakres modeli/feature jest inny, a więc i ścieżki detekcji/mitigacji mogą się różnić (np. wyłączenie AiCloud vs. wyłączenie usług WAN).

Podsumowanie / kluczowe wnioski

  • Luka CVE-2025-59367 jest krytyczna i prosta w nadużyciu — aktualizacja firmware to priorytet.
  • Jeżeli nie możesz zaktualizować (EOL), odetnij usługi WAN i twardnij konfigurację — traktuj to jako most do wymiany sprzętu.
  • Utrzymuj higienę routera: aktualizacje, brak zdalnego admina z Internetu, segmentacja, silne hasła i monitoring konfiguracji.

Źródła / bibliografia

  1. BleepingComputer — ogłoszenie o luce, modele, rekomendacje i firmware 1.1.2.3_1010. (BleepingComputer)
  2. NVD (CVE-2025-59367) — wpis CVE, klasyfikacja i odnośnik do advisory ASUS. (NVD)
  3. CVE.org (CVE-2025-59367) — rejestr CVE zarządzany przez CNA ASUS. (cve.org)
  4. Strona wsparcia modelu DSL-AC51 (lista zmian firmware). (ASUS)
  5. NVD (CVE-2025-2492) — kontekst historyczny (AiCloud, kwiecień 2025). (NVD)

Krytyczna luka w WatchGuard Firebox (CVE-2025-9242) jest aktywnie wykorzystywana. Jak się bronić?

Wprowadzenie do problemu / definicja luki

W urządzeniach WatchGuard Firebox (system Fireware OS) wykryto lukę CVE-2025-9242 o krytycznym poziomie ryzyka (CVSS 9.3), która umożliwia zdalne wykonanie kodu bez uwierzytelnienia poprzez błąd out-of-bounds write w procesie iked (obsługa IKEv2/IPsec dla Mobile User VPN i Branch Office VPN). CISA dodała już podatność do katalogu Known Exploited Vulnerabilities (KEV) na podstawie dowodów aktywnego wykorzystywania w atakach.

W skrócie

  • Co: Out-of-bounds write w iked (IKEv2), prowadzący do RCE bez uwierzytelniania.
  • Kogo dotyczy: Fireware OS 11.10.2–11.12.4_U1, 12.0–12.11.3, 2025.1 (różne modele Firebox). Naprawione w 2025.1.1, 12.11.4, 12.5.13 (T15/T35), 12.3.1_Update3 (B722811); gałąź 11.x – EoL.
  • Wejście atakującego: Ruch IKEv2 z Internetu na UDP/500 i UDP/4500 (NAT-T).
  • Status: Aktywnie wykorzystywana; CISA/KEV wymaga szybkiej aktualizacji.
  • Ekspozycja: Shadowserver raportował >73k niezałatanych Fireboxów widocznych w Internecie w październiku.

Kontekst / historia / powiązania

WatchGuard opublikował poradnik PSIRT 17 września 2025 r., a 21 października 2025 r. zaktualizował go o wskaźniki ataku (IoA) i zalecenie rotacji lokalnie przechowywanych sekretów (np. hasła, pre-shared keys) „z ostrożności”, po sygnałach o realnych próbach eksploatacji. 13 listopada 2025 r. dołączenie do CISA KEV potwierdziło etap aktywnego nadużycia.

Równolegle watchTowr opublikował techniczną analizę i reprodukcję błędu, ułatwiającą zrozumienie prymitywu pamięci, który stoi za RCE.

Analiza techniczna / szczegóły luki

Wejście: komunikaty IKE_AUTH w trakcie zestawiania IKEv2. Błąd out-of-bounds write w implementacji iked można wywołać manipulując polami ładunku IDi (identyfikator inicjatora) – udokumentowanym wskaźnikiem podejścia jest nienaturalnie duży rozmiar IDi (>100 bajtów) w logach diagnostycznych. Udana eksploatacja może spowodować zawieszenie lub crash procesu iked, a w wektorze RCE – wykonanie kodu w kontekście urządzenia.

Warunek konfiguracji: Podatność dotyczy Mobile User VPN (IKEv2) i BOVPN (IKEv2) z dynamicznym peerem. Co istotne, nawet po usunięciu takich konfiguracji urządzenie może pozostać podatne, jeśli nadal istnieje BOVPN do statycznego peera.

Zakres wersji i poprawki: jw. (sekcja „W skrócie”). Gałąź 11.x jest EoL – brak poprawek producenta.

Dowody wykorzystania: wpis w CISA KEV oraz doniesienia branżowe; SecurityWeek wskazuje na decyzję CISA nakazującą pilną aktualizację w instytucjach federalnych (BOD 22-01).

Praktyczne konsekwencje / ryzyko

  • Przejęcie perymetru: RCE na firewallu = pełna kontrola nad ruchem, podsłuch/mitm, pivot do sieci wewnętrznej.
  • Wyłączenie VPN / zakłócenia: zawieszanie/crash iked przerywa tunele BOVPN i dostęp zdalny.
  • Masowa skala ataku: dziesiątki tysięcy urządzeń w Internecie, atrakcyjny cel dla ransomware/APT (brak uwierzytelnienia, stałe UDP).

Rekomendacje operacyjne / co zrobić teraz

0) Priorytet i okno serwisowe
Traktuj jako P1. Zaplanuj szybkie prace: upgrade + rotacja sekretów.

1) Szybka inwentaryzacja i wykrywanie

  • Zidentyfikuj wszystkie Fireboxy z interfejsem WAN mającym UDP/500 i UDP/4500 otwarte do Internetu.
  • Sprawdź wersję Fireware OS i konfigurację VPN (czy używasz IKEv2 oraz dynamic peers).
  • Przejrzyj logi iked pod kątem IoA od WatchGuard: „IKE_AUTH request … IDi(sz=…>100)”, zawieszenia lub crashe iked. (Włącz poziom Info dla diagnostyki iked, jeśli to konieczne).

Przykładowe zapytania (do szybkiego łapania IoA w SIEM):

  • Syslog / Splunk index=network_logs sourcetype=watchguard:iked "IKE_AUTH request" IDi(sz=* | rex "IDi\\(sz=(?<idi>\d+)\\)" | where tonumber(idi) > 100
  • Elastic (KQL) message : "*IKE_AUTH request*" and message : "*IDi(sz=*"
  • tcpdump – szybka inspekcja IKEv2 (porty i długości) Uwaga: rozmiary payloadów IKEv2 nie są „z pudełka” parsowane; użyj do triage’u i korelacji z logami. tcpdump -ni any udp port 500 or udp port 4500

2) Aktualizacja (remediacja właściwa)

  • Zaktualizuj do 2025.1.1 / 12.11.4 / 12.5.13 / 12.3.1_Update3 zgodnie z tabelą WatchGuard PSIRT. Dla 11.x – wymiana/upgrade platformy (EoL, brak łat). Po aktualizacji zrestartuj i zweryfikuj wersję.

3) Rotacja sekretów (po aktualizacji)

  • WatchGuard zaleca rotację wszystkich lokalnie przechowywanych sekretów (hasła, PSK, klucze) „z ostrożności”. Zacznij od PSK dla BOVPN/MUVPN oraz haseł administratorów.

4) Dodatkowe twardnienie i ograniczenie powierzchni ataku

  • Dostęp IKEv2 tylko z zaufanych adresów (listy peerów/ACL na brzegowym FW/WAF, o ile architektura pozwala).
  • Rate-limit dla UDP/500, 4500 na zewnętrznych interfejsach (nftables/iptables) – utrudnia bruteforce i rozpoznanie: # nftables – ratelimiting IKEv2 (przykład) nft add table inet edge nft add chain inet edge input { type filter hook input priority 0 \; } nft add rule inet edge input udp dport {500,4500} ct state new limit rate 20/second accept nft add rule inet edge input udp dport {500,4500} drop
  • Monitoring integralności i wysoki poziom logowania iked przynajmniej tymczasowo.

5) Doraźne obejścia (gdy nie możesz od razu patchować)

  • Jeśli używasz wyłącznie BOVPN do statycznych peerów, zastosuj wytyczne producenta dot. „Secure Access to BOVPN IKEv2” jako tymczasowe ograniczenie ryzyka. (Nie zastępuje aktualizacji!)

6) Wykrywanie w sieci (IDS/IPS) – przykładowa reguła Suricata

Heurystyka: nieproporcjonalnie duże IDi w IKE_AUTH. Reguła orientacyjna – wymaga testów i dostrojenia w danym środowisku.

alert udp any any -> $HOME_NET [500,4500] (
  msg:"IKEv2 anomaly: oversized IDi in IKE_AUTH (WatchGuard CVE-2025-9242 heuristic)";
  flow:to_server;
  dsize:>600;               # heurystyczny próg długości pakietu
  content:"|2f|"; offset:0; depth:1;  # IKEv2 major/minor wersja w pierwszym bajcie: 0x2F (IKE_SA?); DEMO
  classtype:attempted-admin; sid:25259242; rev:1;
)

(IKEv2 nie ma banalnego „sygnaturowego” pola dla IDi bez pełnego parsowania – potraktuj to jako punkt startowy do własnej inspekcji).

7) Skany zewnętrzne / wykrywacze

  • Zespół watchTowr udostępnił skrypt pomocniczy do weryfikacji podatności (detekcja warunku wersji/konfiguracji) – używaj wyłącznie we własnej infrastrukturze.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Charakter wektora: podobnie jak dawne łańcuchy RCE w Fortinet/Citrix, tutaj także mamy unauthenticated edge RCE na urządzeniu brzegowym. Różnica: specyfika IKEv2 i prymityw pamięci w iked.
  • Stan publicznych PoC: w chwili pisania brak szeroko dostępnego, w pełni działającego PoC RCE; istnieją analizy i reprodukcje badaczy (watchTowr), a CISA raportuje realne wykorzystanie. To klasyczny etap „patch now, ask later”.

Podsumowanie / kluczowe wnioski

  1. CVE-2025-9242 to krytyczna luka RCE w WatchGuard Firebox/Fireware OS w komponencie IKEv2 (iked).
  2. Jest aktywnie wykorzystywana; CISA wpisała ją do KEV – traktuj jako incydent prewencyjny o najwyższym priorytecie.
  3. Aktualizuj do wersji naprawionych i rotuj sekrety; dla EoL 11.x – zaplanuj wymianę.
  4. Zastosuj dodatkowe kontrole (ACL/ratelimity/monitoring IoA) do czasu pełnego wdrożenia poprawek.
  5. Weryfikuj logi iked pod kątem anomalii (duży IDi) oraz stabilność procesu – to praktyczne IoA od producenta.

Źródła / bibliografia

  1. WatchGuard PSIRT – „WatchGuard Firebox iked Out of Bounds Write Vulnerability (WGSA-2025-00015)” – zakres wersji, IoA, zalecenia (akt. 7 XI i 21 X 2025). (watchguard.com)
  2. CISA – Alert/KEV: dodanie CVE-2025-9242 jako aktywnie wykorzystywanej (13 XI 2025). (CISA)
  3. SecurityWeek – „Critical WatchGuard Firebox Vulnerability Exploited in Attacks” (13 XI 2025). (SecurityWeek)
  4. Shadowserver – obserwacje skali ekspozycji (73k+ niezałatanych Fireboxów). (SecurityWeek)
  5. watchTowr labs – analiza techniczna i reprodukcja błędu IKEv2/iked. (watchTowr Labs)

FortiWeb: luka typu path traversal (publiczny PoC) aktywnie wykorzystywana do tworzenia kont administratora

Wprowadzenie do problemu / definicja luki

Na urządzeniach Fortinet FortiWeb (WAF) ujawniono i jest aktywnie wykorzystywane obejście uwierzytelniania prowadzące do tworzenia lokalnych kont administratora. Wektor ataku to path traversal na specyficznym endpointcie API, który pozwala napastnikowi wysłać żądanie HTTP i zarejestrować konto z uprawnieniami admina — bez podawania poświadczeń. Publiczne PoC i narzędzia detekcyjne są już dostępne, a ataki są masowo „sprayowane” z wielu adresów IP. Fortinet wydał wersję FortiWeb 8.0.2, która blokuje znany wektor (choć formalny wpis PSIRT odpowiadający dokładnie tej luce nie był jeszcze dostępny w chwili pierwszych publikacji).

W skrócie

  • Co się dzieje? Publiczny exploit wykorzystuje path traversal do wywołania wewnętrznego CGI i stworzenia lokalnego konta admina na FortiWeb.
  • Jakie wersje? Exploit działał na 8.0.1 i starszych, a nie działa na 8.0.2 według niezależnych testów (Rapid7).
  • Status producenta? Wydano 8.0.2 (release notes), brak pierwotnie dedykowanego PSIRT dla tej konkretnej luki w momencie publikacji newsów. Aktualizuj i monitoruj PSIRT.
  • IOC-e? Zgłoszono m.in. źródłowe IP (np. 107.152.41.19, 144.31.1.63, zakres 185.192.70.0/24) oraz przykładowe nazwy użytkowników („Testpoint”, „trader1”) i hasła występujące w payloadach.
  • Co zrobić teraz? Natychmiast zaktualizować do 8.0.2, odciąć panel zarządzania od Internetu, przejrzeć konta adminów, sprawdzić logi pod kątem żądań do fwbcgi i podanych IOC.

Kontekst / historia / powiązania

  • 6 października 2025: firma Defused rejestruje „nieznany exploit Fortinet” na honeypocie i publikuje sygnał w mediach społecznościowych.
  • Październik–listopad: skala ataków rośnie; pojawiają się artefakty payloadów tworzących konta admina oraz listy adresów IP źródłowych.
  • Koniec października / początek listopada: Fortinet publikuje FortiWeb 8.0.2 (build 0060).
  • 13 listopada 2025: Rapid7 publikuje analizę i potwierdza, że publiczny exploit nie działa na 8.0.2, działa na 8.0.1.
  • Równolegle: watchTowr Labs udostępnia narzędzie detekcyjne („Authentication Bypass Artifact Generator”) pomagające obronie w walidacji podatności.

Analiza techniczna / szczegóły luki

Wektor i endpoint

Badacze wskazują na path traversal przez punkt:

/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi

Żądanie POST z odpowiednio przygotowanym payloadem tworzy lokalne konto administratora. W logach widać następnie udane logowanie na nowo utworzony użytkownik.

Artefakty (przykładowe)

  • Nazwy użytkowników: Testpoint, trader1, trader
  • Hasła (przykładowe, obserwowane w dziczy): np. AFT3$tH4ck, AFT3$tH4ckmet0d4yaga!n, inne jednorazowe ciągi.
  • Źródłowe IP: 107.152.41.19, 144.31.1.63, zakres 185.192.70.0/24, 64.95.13.8, itd.
    Te artefakty ułatwiają triage i threat hunting, ale nie należy ich traktować jako wyczerpującej listy IOCs.

Status wersji i łagodzenie w 8.0.2

Rapid7 wykazał, że na FortiWeb 8.0.1 exploit sukcesywnie tworzy konto admina (HTTP 200 OK z JSON potwierdzającym utworzenie), a na 8.0.2 zwraca 403 Forbidden. To silna przesłanka, że 8.0.2 zawiera zmiany blokujące znany wektor (nawet jeśli vendor nie opisał ich jako „security fix” wprost).
Release notes dla 8.0.2 są dostępne publicznie (build 0060).

Praktyczne konsekwencje / ryzyko

  • Pełne przejęcie panelu: utworzenie konta z prof_admin lub równoważnym profilem dostępu to w praktyce pełna kontrola nad FortiWeb (zmiany polityk, upload certyfikatów, modyfikacje routingu/connectorów, eksport konfiguracji).
  • Pivoting do sieci wewnętrznej: FortiWeb jako bramka dla aplikacji bywa podłączony do segmentów o wyższej wrażliwości; atakujący może przeprowadzić lateral movement lub manipulacje ruchem L7.
  • Ukryta trwałość: atakujący może zakładać drugie (ukryte) konto, zmieniać ACL-e do panelu, wgrywać backdoory (np. przez integracje / connector).
  • Wpływ na ciągłość usług: zmiany polityk WAF mogą spowodować DoS aplikacyjny (fałszywe bloki) albo rozszczelnienie ochrony (allow-all).

Rekomendacje operacyjne / co zrobić teraz

Poniższe kroki są uporządkowane wg priorytetu „incydent już trwa / aktywny exploit”.

1) Patch & izolacja zarządzania

  1. Natychmiast zaktualizuj do FortiWeb 8.0.2 (build 0060). Zweryfikuj wersję po aktualizacji.
    Dokumentacja i release notes: 8.0.2.
  2. Odizoluj interfejs zarządzania: dostęp tylko z sieci zaufanej / VPN, żadnej ekspozycji do Internetu.

2) Szybki threat hunting (żądania do fwbcgi, nowe konta)

Na serwerze SIEM / w logach WAF wyszukaj żądania POST do fwbcgi z podejrzanych źródeł:

Splunk

index=fortiweb sourcetype=fortiweb:access OR sourcetype=fortiweb:system
| rex field=uri_path "(?<endpoint>fwbcgi)"
| search method=POST endpoint=fwbcgi
| stats count by _time, src_ip, http_status, uri, user, user_agent

Elastic (KQL)

(event.dataset: "fortiweb.*" and http.request.method:"POST" and url.path:*fwbcgi*)
| stats count by source.ip, http.response.status_code, url.full, user_agent.original, @timestamp

Grep (jeśli logi dostępne na hostach kolektorów)

grep -Rin "POST .*fwbcgi" /var/log/fortiweb/ 2>/dev/null

Dodatkowo przefiltruj po znanych IOC (przykładowe IP z raportów) oraz po user-agentach nietypowych dla panelu.

3) Audyt kont administratorów

W panelu/CLI przejrzyj listę lokalnych adminów i szukaj niespodziewanych wpisów (np. Testpoint, trader1, losowe ciągi).
Przykładowe (CLI FortiWeb – składnia zbliżona do FortiOS):

config system admin
    show
end

Jeśli pojawią się konta „obce”:

config system admin
    delete <nazwa_konta>
end

Następnie: wymuś rotację haseł dla wszystkich kont uprzywilejowanych i przejrzyj audit logi (kto i skąd się logował).

4) Weryfikacja wersji i reguł dostępowych

get system status            # sprawdź wersję FortiWeb (oczekiwane 8.0.2)
config system interface      # ogranicz źródła zarządzania do mgmt-VPN/subnetów
config system global
    set admin-scp enable
    set admin-https-redirect enable
end

Dodatkowo włącz listy zaufanych hostów (trust hosts) dla kont admina.

5) Telemetria, detekcje i blokady

  • WAF/NGFW przed panelem zarządzania: wymuś allowlistę źródeł (src IP) do portów admin (HTTPS/SSH).
  • Reguła IDS/IPS: sygnatura na URI zawierające admin%3f/../../../../../cgi-bin/fwbcgi (ew. normalizacja URL!).
  • watchTowr – artifact generator: użyj tylko w bezpiecznym labie do walidacji czy instancja jest podatna (nie uruchamiać przeciw środowiskom produkcyjnym bez autoryzacji!).

6) IR: jeśli wykryto kompromitację

  1. Odłącz panel od sieci zewnętrznej.
  2. Zrzut konfiguracji (na dowód), potem zmiana wszystkich kluczy/sekretów powiązanych z FortiWeb (w tym poświadczeń do backendów, connectorów).
  3. Rebuild/upgrade do 8.0.2, import czystej (przejrzanej) konfiguracji.
  4. Review ruchu aplikacyjnego – czy polityki WAF nie zostały celowo poluzowane.

Różnice / porównania z innymi przypadkami (np. CVE-2025-25257)

  • Bieżący incydent: path traversal z obejściem auth prowadzący do tworzenia lokalnych kont admina (publiczny PoC, aktywne nadużycia). Brak jednoznacznie przypisanej CVE w chwili pierwszych publikacji; 8.0.2 blokuje znany wektor.
  • CVE-2025-25257 (lipiec 2025): pre-auth SQLi → RCE w FortiWeb Fabric Connector (inne miejsce, inny łańcuch). watchTowr opublikował szczegóły techniczne i repo dla tego CVE. Nie należy mylić tych spraw — to odrębne podatności i różne ścieżki ataku.
  • CVE-2025-25254/FG-IR-25-512: wcześniejsze path traversal wymagające uprawnień admina (PR:H), odmienny profil ryzyka niż obecny unauth wektor.

Podsumowanie / kluczowe wnioski

  • Atak jest aktywny w Internecie i pozwala bezuwierzytelnieniowo tworzyć konta admina na podatnych FortiWeb.
  • Aktualizacja do 8.0.2 jest dziś praktycznie warunkiem koniecznym; dodatkowo zamykanie panelu do sieci zaufanych to „must-have”.
  • Przejrzyj konta adminów, logi do fwbcgi, oraz IOC opublikowane przez badaczy.
  • Utrzymuj monitoring PSIRT Fortinet i publikacji branżowych, bo sytuacja może ewoluować.

Źródła / bibliografia

  1. BleepingComputer — opis incydentu, endpoint, IOC, status 8.0.2. (BleepingComputer)
  2. Rapid7 — testy 8.0.1 vs 8.0.2, wnioski operacyjne. (Rapid7)
  3. PwnDefend/Defused — technikalia (endpoint, przykładowe IP/nicki/hasła). (pwndefend.com)
  4. watchTowr Labs (GitHub) — artifact generator do walidacji/detekcji auth bypass. (GitHub)
  5. Fortinet — dokumentacja / release notes FortiWeb 8.0.2 (build 0060). (docs.fortinet.com)
    (Przy porównaniach dodatkowo: watchTowr blog + repo CVE-2025-25257, NVD/PSIRT wcześniejszych luk.) (watchTowr Labs)

#StopRansomware: Akira – aktualizacja 13.11.2025. Nowe TTP, wektory wejścia przez SonicWall i ataki na Nutanix AHV

Wprowadzenie do problemu / definicja luki

13 listopada 2025 r. opublikowano zaktualizowaną wspólną poradę (#StopRansomware) dot. grupy Akira. Dokument (AA24-109A) ostrzega o pilnym zagrożeniu dla infrastruktury krytycznej, nowych technikach oraz wskaźnikach kompromitacji (IOC). Najistotniejszy wątek: wejście przez urządzenia VPN (szczególnie SonicWall, CVE-2024-40766) i rozszerzenie szyfrowania na maszyny wirtualne Nutanix AHV, obok już znanych ataków na VMware ESXi/Hyper-V.

W skrócie

  • Wejście: nadużycie urządzeń VPN (m.in. SonicWall, CVE-2024-40766), podatnych usług/urządzeń brzegowych, nie-MFA, spearphishing, hasła wyciekłe/wypryskiwane (password spraying).
  • Rozszerzenie celu: pierwsze potwierdzone szyfrowanie dysków Nutanix AHV (czerwiec 2025).
  • TTP: nltest do odkrywania domen, Impacket/wmiexec, zdalne narzędzia (AnyDesk/LogMeIn), wyłączanie EDR, BYOVD/terminowanie AV.
  • Skala zysków: ~244,17 mln USD do IX 2025 r. (zgłoszenia śledcze FBI).

Kontekst / historia / powiązania

Akira działa co najmniej od marca 2023 r., początkowo Windows + rozszerzenie .akira, potem Megazord (Rust, rozszerzenie .powerranges) oraz Akira_v2; cele na wielu kontynentach i sektorach (produkcja, edukacja, IT, zdrowie, finanse, F&A). Autorzy łączą Akirę z aliasami Storm-1567/Howling Scorpius/Punk Spider/Gold Sahara i możliwymi koneksjami do upadłej Conti.

Od połowy 2025 r. obserwowano kampanię przeciw SonicWall SSL VPN – potwierdzoną też przez CERT-y/branżę (ACSC/ASD, vendor SonicWall, analizy Darktrace/Arctic Wolf).

Analiza techniczna / szczegóły luki

Wejście (Initial Access)

  • VPN bez MFA i znane CVE w produktach sieciowych, w tym Cisco (np. CVE-2020-3259, CVE-2023-20269), oraz SonicWall CVE-2024-40766. Dodatkowo Veeam (CVE-2023-27532, CVE-2024-40711). Często password spraying (np. SharpDomainSpray), RDP, kradzież poświadczeń, a także SSH przez router z publicznym IP.

Przykładowe zapisy do detekcji (Sigma, logon VPN SonicWall – event nieudany/udany z nietypowego ASN/geo):

title: SonicWall SSLVPN Suspicious Geo ASN Login
logsource:
  product: sonicwall
  service: sslvpn
detection:
  selection:
    outcome: success
  filter_geo:
    src_country|contains:
      - 'CN'
      - 'RU'
      - 'BR'
  condition: selection and filter_geo
level: medium
tags: [attack.t1110, initial-access]

Wykonanie (Execution)

  • Częste użycie VBScript do wykonywania poleceń i automatyzacji.

Trwałość / Ruch rozpoznawczy

  • Tworzenie nowych kont domenowych (spotykana nazwa itadm), Kerberoasting, zrzut LSASS (Mimikatz/LaZagne), skanowanie (SoftPerfect/Advanced IP Scanner/NetScan), polecenia net oraz nltest /dclist, nltest /DOMAIN_TRUSTS.

Szybki „hunt” w Windows (PowerShell):

# Nowo utworzeni członkowie Domain Admins w 7d
Get-ADGroupMember "Domain Admins" |
  ForEach-Object { Get-ADUser $_ -Properties whenCreated } |
  Where-Object { $_.whenCreated -gt (Get-Date).AddDays(-7) } |
  Select-Object Name, SamAccountName, whenCreated

# Artefakty net/nltest w PowerShell Operational (ID 4104/4103) i Security 4688
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 5000 |
  Where-Object {$_.Message -match 'nltest|net.exe'}

Unikanie obrony / Lateral Movement

  • PowerTool + podatny sterownik (BYOVD) do zabijania procesów AV/EDR (m.in. wyłączenie Defendera), nadużycie AnyDesk/LogMeIn, Impacket wmiexec.py, odinstalowanie EDR przed szyfrowaniem.

Szyfrowanie / Wpływ na wirtualizację

  • Po ESXi/Hyper-V, czerwiec 2025: szyfrowanie dysków VM Nutanix AHV – istotna zmiana dla środowisk HCI.

Praktyczne konsekwencje / ryzyko

  • Urządzenia brzegowe (SonicWall) stają się „jednym kliknięciem” do sieci wewnętrznej – nawet z MFA (doniesienia o przejętych seedach OTP/artefaktach pozwalających omijać MFA). Uderza to w model „MFA-i-po-sprawie”.
  • Wirtualizacja: przejście z ESXi/Hyper-V na Nutanix AHV rozszerza powierzchnię ataku i podnosi koszt RTO/RPO przy incydencie.
  • Utrudniona detekcja przez nadużycie legalnych narzędzi, wyłączanie EDR i użycie Impacket w ruchu bocznym.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast załataj i utwardź SonicWall (CVE-2024-40766), zresetuj poświadczenia SSL VPN, rozważ rotację/ponowną rejestrację sekretów OTP/MFA; zaktualizuj do najnowszego SonicOS 7.3.x, zastosuj zalecenia producenta.
  2. Wymuś phishing-resistant MFA (FIDO2/WebAuthn) oraz blokady po wielu nieudanych próbach; ogranicz wskazówki haseł, nie wymuszaj zbyt częstych zmian (zgodnie z NIST), ale wymuś rotację po incydencie VPN.
  3. Segmentacja i zasada najmniejszych uprawnień (kontrola przepływów, izolacja serwerów zarządzania hipernadzorcą/backupem).
  4. Kopie offline + testy odtwarzania (szczególnie VM AHV/ESXi/Hyper-V i repozytoria Veeam).
  5. Monitoring anomalii sieciowych i EDR: wykrywaj nltest/net, wmiexec/Impacket, instalacje AnyDesk/LogMeIn, próby deinstalacji EDR. (Patrz sekcja „hunt”.)
  6. Blokuj narzędzia BYOVD (wdrożenia HVCI/Blocklist sterowników Microsoft, AppControl), monitoruj ładowanie nietypowych sterowników (Sysmon ID 6).
  7. Dodatkowe źródła IOC i ATT&CK mapping – pobierz STIX z aktualizacji AA24-109A i wprowadź do SIEM/SOAR.

Przykładowe reguły (Sysmon/Sigma) – Impacket & nltest:

title: Impacket WMIExec Child Of Python
logsource: { product: windows, service: sysmon }
detection:
  sel1: { EventID: 1, ParentImage|endswith: '\python.exe', Image|endswith: '\wmic.exe' }
  sel2: { EventID: 3, DestinationPort: 135 }  # DCOM
  condition: sel1 or sel2
level: high
tags: [attack.t1047, lateral-movement]

---
title: Domain Discovery with nltest
logsource: { product: windows, service: security }
detection:
  sel: { EventID: 4688, NewProcessName|endswith: '\nltest.exe' }
  condition: sel
level: medium
tags: [attack.t1018,t1482]

Przykładowe zapory/SDN – ogranicz RDP/SMB/WMI do stref adminów:

# Linux nftables - blokuj SMB z podsieci użytkowników do serwerów
nft add rule inet filter forward ip saddr 10.20.0.0/16 ip daddr 10.30.10.0/24 tcp dport {445,139} drop

Różnice / porównania z innymi przypadkami

  • LockBit/ALPHV długo stawiały głównie na ESXi/Hyper-V; Akira jako jedna z pierwszych operacji potwierdzenie ataków na Nutanix AHV, co wymusza aktualizację playbooków IR/BCP dla HCI.
  • Akcent na SonicWall SSL VPN – rzadziej spotykany tak skoncentrowany wektor u konkurencyjnych grup w 2025 r.; zbieżne ostrzeżenia rządowe (ACSC) i vendor.

Podsumowanie / kluczowe wnioski

  1. Brzeg (VPN) to główna brama – łataj i rotuj sekrety. 2) AHV jest już na celowniku – ćwicz odtwarzanie VM poza hipernadzorcą. 3) Detekcja TTP (Impacket/nltest/AnyDesk) i ochrona przed BYOVD muszą być obowiązkowym elementem. 4) Wdróż MFA odporne na phishing i egzekwuj najmniejsze uprawnienia. 5) Pobierz i wprowadź IOC z AA24-109A (STIX).

Źródła / bibliografia

  1. FBI/CISA/DC3/HHS/EC3/NCSC-NL i in., #StopRansomware: Akira Ransomware – aktualizacja 13.11.2025 (AA24-109A). Zawiera TTP/IOC, MITRE ATT&CK i zalecenia.
  2. CISA – strona poradnika AA24-109A (mirror + opis aktualizacji). (CISA)
  3. ACSC/ASD – alert dot. aktywnej eksploatacji CVE-2024-40766 (SonicWall) i powiązania z Akirą. (Cyber.gov.au)
  4. SonicWall – komunikat producenta nt. zagrożeń dla Gen7 i SSLVPN oraz działań naprawczych. (SonicWall)
  5. BleepingComputer – wzmianka o szyfrowaniu Nutanix AHV przez Akirę (potwierdzenie trendu z AA24-109A). (BleepingComputer)

“CitrixBleed 2” i krytyczne błędy w Cisco ISE: fala ataków na infrastrukturę tożsamości

Wprowadzenie do problemu / definicja luki

W najnowszej kampanii ofensywnej zaobserwowano równoległe wykorzystanie dwóch błędów 0-day w kluczowych komponentach tożsamości i dostępu:

  • Citrix NetScaler ADC/Gateway – CVE-2025-5777, nieformalnie nazwany „CitrixBleed 2”: błąd ujawnienia informacji (out-of-bounds read) umożliwiający odczyt fragmentów pamięci i przejęcie sesji (w tym admina) bez uwierzytelniania, gdy urządzenie działa jako Gateway/AAA.
  • Cisco Identity Services Engine – CVE-2025-20337: pre-auth RCE jako root przez podatne API; dotyczy ISE/ISE-PIC i uzyskało ocenę CVSS 10.0.

Według najnowszych doniesień, ten sam aktor wykorzystywał oba błędy przed publikacją łat, co wprost uderza w infrastrukturę IAM/NAC i ułatwia trwałą kontrolę nad środowiskiem ofiary.

W skrócie

  • CitrixBleed 2” (CVE-2025-5777) → wyciek pamięci i kradzież tokenów/sesji w NetScalerach działających jako Gateway/AAA.
  • Cisco ISE (CVE-2025-20337)zdalne wykonanie kodu bez uwierzytelnienia jako root przez podatne API.
  • APT wykorzystywał oba jako 0-day (pre-patch), wdrażając niestandardowe web-shelle/malware i utrzymując niewykrywalną obecność.
  • Priorytet: natychmiastowe łatki + unieważnienie sesji, rotacja poświadczeń/kluczy, przegląd zaufania do całej płaszczyzny tożsamości.

Kontekst / historia / powiązania

Nazwa „CitrixBleed 2” nawiązuje do CitrixBleed (CVE-2023-4966) z 2023 r., który był masowo nadużywany m.in. przez grupy ransomware. Obecna luka ma podobny skutek (wyciek pamięci → przejęcie sesji), ale dotyczy nowszych wersji NetScaler i znów eksponuje perymetr zdalnego dostępu.

Po stronie Cisco ISE producent 25 czerwca 2025 r. opublikował poradnik o krytycznych RCE w ISE/ISE-PIC i w lipcu dodał CVE-2025-20337, potwierdzając maksymalną wagę problemu. Niezależne ośrodki (CERT-EU, NVD, NHS) spójnie wskazują na pre-auth RCE przez API.

Analiza techniczna / szczegóły luki

CVE-2025-5777 – NetScaler („CitrixBleed 2”)

  • Typ: out-of-bounds read → ujawnienie pamięci (m.in. tokeny sesyjne, ciasteczka) po wysłaniu spreparowanych parametrów logowania do komponentu uwierzytelniania.
  • Warunki: NetScaler skonfigurowany jako Gateway (VPN/ICA Proxy/ CVPN/RDP Proxy) lub AAA vServer.
  • Skutki: „dołączenie” do dowolnej sesji, przejęcie pulpitów VDI, hijacking aktywnych sesji admina – konsekwencje obserwowane w praktyce.

CVE-2025-20337 – Cisco Identity Services Engine

  • Typ: brak walidacji danych wejściowych w określonym API ISE/ISE-PICRCE jako root bez uwierzytelniania po wysłaniu spreparowanego żądania.
  • Zakres: dotyczy gałęzi 3.3 i 3.4 (naprawy w patchach wydanych przez Cisco – patrz niżej). Niezależne biuletyny potwierdzają ścieżki naprawy (3.3 Patch 7, 3.4 Patch 2).
  • Obserwacje z incydentów: niestandardowy web-shell podszywający się pod komponent ISE, działający w pamięci, z naciskiem na trwałość i stealth.

„Patch-gap” i atak przed publikacją łatek

Amazon opisał wykorzystanie obu podatności jako 0-day jeszcze przed wydaniem łat – klasyczny przykład „patch-gap exploitation” (okno między wykryciem a pełnym rolloutem poprawek). Wnioski: zarządzanie ekspozycją i telemetria/anomalia wygrywają z samą prędkością patchowania.

Praktyczne konsekwencje / ryzyko

  1. Przejęcie dostępu zdalnego i tożsamości
    Kradzież ciasteczek/tokenów NetScaler → przejęcie sesji użytkowników/adminów; RCE na ISE → pivot do AD, MDM, VPN, segmentacji NAC.
  2. Trwała obecność i niewidoczność
    Web-shelle „osadzone” w ISE, wykonywane w pamięci i maskujące się jako komponenty systemowe. Ryzyko cichego podnoszenia uprawnień oraz lateral movement.
  3. Szeroki blast radius
    Atak na warstwę IAM/NAC wpływa na całe środowisko: federacje SSO, dostęp VPN, profile polityk dostępu, integracje z chmurą.

Rekomendacje operacyjne / co zrobić teraz

0) „Assume breach” dla NetScaler i ISE

Skoro obserwowano pre-patch exploitation, traktuj oba urządzenia jak potencjalnie naruszone. Priorytet: skracać ekspozycję i podnosić wierność logowania.

1) Patch & hardening (dziś)

  • NetScaler (CVE-2025-5777): zaktualizuj do buildów z poprawką i zastosuj konfiguracyjne kroki remediacji (NetScaler Console ma wbudowany 2-etapowy workflow: upgrade + szablon komend). Po aktualizacji wymuś wygaszenie sesji i przeprowadź skan instancji.
  • Cisco ISE (CVE-2025-20337): zastosuj patche wskazane przez Cisco dla linii 3.3/3.4 (zgodnie z komunikatami CERT/NHS: m.in. 3.3 Patch 7, 3.4 Patch 2). Zweryfikuj brak ekspozycji podatnych API do Internetu.

2) Response po aktualizacji

  • Unieważnij wszystkie aktywne sesje na NetScalerach (gateway/AAA), zrotuj klucze/sekrety (SAML/OIDC, certyfikaty), zresetuj hasła kont uprzywilejowanych, przeforcesuj re-logon. (Dostarczane przez NetScaler Console mechanizmy ułatwiają masowe działania).
  • Przegląd konfiguracji ISE: odłącz nieużywane integracje, wprowadź allow-list dla API/management plane (administracja wyłącznie z sieci zarządzania/VPN z MFA).

3) Detections – szybkie reguły dla SOC

Poniższe przykłady są defensywne (bez exploitów):

Splunk (NetScaler – anomalia sesji/admin hijack)

index=netscaler sourcetype=citrix:netscaler:* 
| eval ua=coalesce(http_user_agent, user_agent) 
| stats count dc(src_ip) values(ua) as uas by cs_user, http_cookie 
| where count>1 AND dc(src_ip)>1

Wyszukuje dzielone ciasteczka/sesje z różnych IP (hijack).

Splunk (Cisco ISE – podejrzane wywołania API)

index=cisco_ise sourcetype=cisco:ise:rest
| stats count values(http_method) as m values(uri_path) as up by src_ip, user
| where user="-" OR user="anonymous" OR like(m,"%POST%")

Wykrywa anonimowe POST-y do API.

Sigma (ogólne, do SIEM z HTTP logami)

title: Suspicious Anonymous API Calls to NAC/IAM
logsource: { category: webserver }
detection:
  selection:
    http.status: [200,201,204,500]
    http.verb: POST
    http.user: "-"
    http.path|contains:
      - "/ers/config"      # ISE ERS API
      - "/oauth"           # token endpoints
      - "/nitro/v1/config" # NetScaler NITRO API
  condition: selection
level: high

4) Telemetria i ograniczenie ekspozycji

  • Zamknij management plane (ACL, bastion, jump host, VPN z MFA).
  • Włącz HTTP request logging na brzegach (WAF/reverse proxy) i integrację z SIEM.
  • Monitoruj tokeny (źródła logowania, nagłe zmiany IP/ASN, skoki geolokalizacji).

5) Łączność z chmurą i federacje

Jeśli NetScaler/ISE federuje się z IdP/SSO, rozważ rotację kluczy podpisywania (SAML/OIDC), unieważnienie refresh tokenów i ponowne wymuszenie MFA.

Różnice / porównania z innymi przypadkami

  • CitrixBleed (2023) vs. „CitrixBleed 2” (2025): w obu przypadkach wyciek pamięci umożliwia przejęcie sesji, ale nowe CVE dotyka nowszych buildów i ponownie wykazuje, że urządzenia brzegowe IAM/VPN są „łakomym kąskiem”.
  • Cisco ISE RCE wyróżnia się na tle wielu błędów NAC tym, że daje root RCE pre-auth przez API – przez co łańcuch ataku jest krótszy (bez kradzieży kont).

Podsumowanie / kluczowe wnioski

  1. Tożsamość to nowy perymetr – atak na NetScaler i ISE to skrót do całej organizacji.
  2. Okno „patch-gap” jest realne – planuj kompensacyjne kontrole (segmentacja, izolacja zarządzania, wysokiej jakości logowanie) zanim pojawi się łatka.
  3. Po każdej aktualizacji wykonuj czynności post-incident: unieważnienie sesji, rotacje i przegląd anomalii – samo „patch done” nie wystarczy.

Źródła / bibliografia

  • Dark Reading – opis kampanii i korelacja między Citrix i Cisco ISE. (Dark Reading)
  • AWS Security Blog (CJ Moses) – szczegóły o pre-patch exploitation i taktykach aktora. (Amazon Web Services, Inc.)
  • NetScaler Docs – procedura dwuetapowej remediacji CVE-2025-5777 (upgrade + konfiguracja). (docs.netscaler.com)
  • NVD – szczegóły CVE-2025-20337 (RCE pre-auth w API ISE/ISE-PIC). (NVD)
  • CERT-EU / NHS – kontekst wersji ISE i rekomendacje patchy (3.3/3.4). (cert.europa.eu)