Weaponized file name flaw w glob CLI, ostrzeżenie CISA przed dronami, EdgeStepper AitM, wyroki dla twórców Samourai i wyciek Cox — tygodniowy przegląd cyber - Security Bez Tabu

Weaponized file name flaw w glob CLI, ostrzeżenie CISA przed dronami, EdgeStepper AitM, wyroki dla twórców Samourai i wyciek Cox — tygodniowy przegląd cyber

Wprowadzenie do problemu / definicja luk

Miniony tydzień przyniósł kilka głośnych tematów: wysokiego ryzyka luka RCE w narzędziu wiersza poleceń biblioteki glob (npm), nowe materiały CISA w kampanii Be Air Aware™ o zagrożeniach ze strony dronów, raport ESET o chińsko-powiązanej grupie PlushDaemon używającej implantu EdgeStepper do przejmowania kanałów aktualizacji przez manipulację DNS, wyroki więzienia dla współzałożycieli portfela Samourai Wallet, a także potwierdzony wyciek danych w Cox Enterprises po wykorzystaniu zero-day w Oracle E-Business Suite. Te wydarzenia dotykają łańcucha dostaw, DevOps/CI, OT/CI, oraz bezpieczeństwa kryptowalut i ERP.

W skrócie

  • glob CLI (npm) — błąd w opcji -c/--cmd umożliwia command injection i wykonanie dowolnych poleceń poprzez „złośliwe” nazwy plików; naprawiono w wersjach 10.5.0 / 11.1.0 / 12.0.0. API biblioteczne nie jest podatne. CVSS: 7.5 (High).
  • CISA „Be Air Aware” — agencja opublikowała zaktualizowane przewodniki dla operatorów infrastruktury krytycznej dot. oceny ryzyka i detekcji UAS (dronów).
  • PlushDaemon (ESET) — implant EdgeStepper na urządzeniach sieciowych przekierowuje DNS dla domen aktualizacji i wstrzykuje złośliwe pakiety (łańcuch LittleDaemon → DaemonicLogistics → SlowStepper).
  • Samourai Wallet — DOJ: wyroki 5 lat (CEO Keonne Rodriguez) i 4 lata (CTO William Hill) za pranie pieniędzy i prowadzenie nielegalnej działalności przekazów. Wyroki zapadły 6 i 19 listopada 2025 r. przez zero-day CVE-2025-61882 w Oracle EBS; Cl0p przypisuje sobie kampanię. Oracle wydał alert i łatę 4 października 2025 r.

Kontekst / historia / powiązania

Błąd w glob wpisuje się w rosnącą liczbę podatności „narzędzi okołobudujących” (CLI, skrypty) wpływających na łańcuchy CI/CD. CISA od miesięcy podnosi temat hybrydowych zagrożeń fizyczno-cyfrowych — program Be Air Aware™ rozwijany jest co najmniej od stycznia 2025 r. i teraz wzbogacony o nowe przewodniki. Z kolei PlushDaemon kontynuuje trend adversary-in-the-middle na brzegu sieci (routery, CPE), z użyciem przejęcia DNS dla domen update’owych. Seria incydentów Oracle EBS przypomina wcześniejsze, masowe kampanie Cl0p na MOVEit/GoAnywhere (ten sam motyw: zero-day w popularnym komponencie ERP/transferowym → fala wtórnych naruszeń).

Analiza techniczna / szczegóły luki

1) glob CLI (npm)

  • Zakres: wyłącznie CLI, nie dotyczy wywołań bibliotecznych (glob(), globSync() itd.).
  • Mechanizm: glob -c <command> <patterns> przekazuje dopasowane nazwy plików do powłoki z shell: true. Metaznaki w nazwach plików ($(), `, ;, &, | itd.) są interpretowane jako składnia powłoki → RCE.
  • Wersje podatne: ≥10.2.0 do 11.0.3 (wg GHSA), z naciskiem na środowiska POSIX i linie CI przetwarzające niezaufane nazwy plików/archiwa.
  • Naprawa: aktualizacja do 10.5.0 / 11.1.0 / 12.0.0; dodatkowo zmiany w sposobie przekazywania argumentów (--cmd-arg) i możliwość wymuszenia trybu --shell tylko świadomie.

2) EdgeStepper / PlushDaemon (ESET)

  • Wejście: kompromitacja urządzeń sieciowych (exploity na znane luki lub hasła domyślne/słabe).
  • Działanie: implant EdgeStepper przechwytuje i przekierowuje zapytania DNS, szczególnie te do domen aktualizacji oprogramowania → ofiara otrzymuje „aktualizację” zawierającą loader LittleDaemon, następnie DaemonicLogistics (w pamięci) i finałowo SlowStepper.
  • Cele: USA, NZ, Kambodża, Hongkong, Tajwan i Chiny; motyw szpiegowski.

3) Zero-day w Oracle E-Business Suite (CVE-2025-61882)

  • Opis Oracle: podatność RCE bez uwierzytelnienia (CVSS 9.8) w integracji BI Publisher/Concurrent Processing; dotyczy gałęzi 12.2.3–12.2.14.
  • Oś czasu: łatka Oracle opublikowana 4 października 2025 r.; Cl0p miał wykorzystywać błąd jako zero-day w sierpniu.
  • Skutki wtórne: szereg organizacji potwierdziło incydenty; Cox Enterprises powiadamia osoby, których dane wyciekły.

Praktyczne konsekwencje / ryzyko

  • Łańcuchy CI/CD: projekty, które uruchamiają glob -c na artefaktach pochodzących z PR-ów, uploadów czy rozpakowanych archiwów, są narażone na niemy RCE pod uprawnieniami runnera/CI (sekrety, klucze, tokeny).
  • Border/edge: organizacje polegające na urządzeniach sieciowych z przestarzałym firmware’em/hasłami narażają się na AitM przez DNS i podmianę kanałów aktualizacji (EdgeStepper).
  • ERP/Oracle EBS: instancje niezaktualizowane po 4 października 2025 r. mogą być już skompromitowane; aktorzy tacy jak Cl0p/FIN11 łączą RCE z masową kradzieżą danych i wymuszeniami.
  • Ryzyko fizyczno-cyfrowe: drony (UAS) jako nośnik rozpoznania, zakłóceń operacyjnych, a nawet wsparcia ataków cyber (np. bliska łączność/rogue AP). CISA rekomenduje włączenie UAS do istniejących ocen ryzyka i procedur detekcji.
  • Compliance/KYC w krypto: wyroki dla Samourai Wallet wzmacniają trend ścigania narzędzi ułatwiających anonimizację przepływów finansowych, co może wpływać na projekty „privacy-enhancing” i giełdy.

Rekomendacje operacyjne / co zrobić teraz

Dev/CI/CD (glob):

  1. Wyszukaj w repozytoriach/pipeline’ach użycie glob -c/--cmd; natychmiast aktualizuj do glob ≥10.5.0/11.1.0/12.0.0.
  2. Unikaj shell:true; używaj bezpiecznego przekazywania argumentów (--cmd-arg) i jawnie waliduj listy plików (np. allow-list rozszerzeń).
  3. Ogranicz uprawnienia runnerów, odseparuj sekrety i włącz detekcje anomalii (np. nietypowe tworzenie plików/połączenia sieciowe) w jobach.

Sieć/edge (EdgeStepper):

  1. Przegląd konfiguracji DNS na routerach/CPE, monitoring egress DNS i DNSSEC/DoT/DoH tam, gdzie to możliwe.
  2. Aktualizacje firmware’u, wyłączenie/zmiana haseł domyślnych, segmentacja i MFA do paneli urządzeń.
  3. Weryfikacja źródeł aktualizacji oprogramowania (pinning CA, repozytoria, sumy SHA256).

ERP/Oracle EBS:

  1. Jeśli korzystasz z EBS 12.2.x — natychmiast zastosuj poprawkę z alertu Oracle dla CVE-2025-61882 i przejrzyj IOCs.
  2. Załóż kompromitację dla okna 9–14 sierpnia 2025 r. (czas exploitu zero-day) i przeprowadź IR + threat hunting (logi HTTP, artefakty BI Publisher, konta serwisowe).
  3. Przygotuj scenariusze „data theft at scale” (DLP, egress, szyfrowanie w spoczynku).

Bezpieczeństwo fizyczno-cyfrowe (UAS):

  1. Włącz UAS do ocen ryzyka i planów reagowania; zintegruj detekcję i mapowanie UAS z SOC/PSIM.
  2. Przeszkol ochronę i zespoły OT w rozpoznawaniu aktywności UAS nad obiektami krytycznymi.

Compliance/krypto:

  1. Projekty z funkcjami mieszania/anonymity-enhancing: przegląd wymogów AML/KYC, aktualizacja polityk i transparentności.

Różnice / porównania z innymi przypadkami

  • glob nie jest „klasycznym” RCE w bibliotece runtime aplikacji — dotyczy CLI i błędnego zaufania do nazw plików + użycia powłoki. To odróżnia go np. od typowych podatności w parserach (SSRF/RCE) wykonywanych w procesie serwera.
  • EdgeStepper to AitM przez DNS na brzegu — ewolucja wcześniejszych kampanii, gdzie celem były serwery aktualizacji czy łańcuch dostaw (MOVEit). Tu kluczowa jest kontrola DNS na urządzeniu i „ciche” podmiany.
  • Oracle EBS wpisuje się w „logo-vuln” kampanie Cl0p/FIN11: zero-day w popularnym rozwiązaniu → kaskada ofiar w wielu sektorach.

Podsumowanie / kluczowe wnioski

  • Małe narzędzie (glob CLI) potrafi mieć duże skutki w CI/CD — sprawdź swoje pipeline’y.
  • EdgeStepper pokazuje, że DNS na brzegu to atrakcyjny wektor AitM dla podmiany aktualizacji.
  • Patchuj Oracle EBS i załóż możliwość wcześniejszego nadużycia (zero-day w sierpniu).
  • UAS to już element cyber-fizycznych scenariuszy incydentów — uwzględnij je w planach bezpieczeństwa.
  • Trend egzekucyjny wobec narzędzi „privacy/mixing” w krypto przyspiesza (casus Samourai).

Źródła / bibliografia

  1. GitHub Security Advisory: glob CLI: Command injection via -c/–cmd (GHSA-5j98-mcp5-4vw2), 17 listopada 2025. (GitHub)
  2. CISA: CISA releases new guides to safeguard critical infrastructure from UAS threats (Be Air Aware™), 19 listopada 2025. (cisa.gov)
  3. ESET WeLiveSecurity: PlushDaemon compromises network devices for adversary-in-the-middle attacks, 19 listopada 2025. (welivesecurity.com)
  4. U.S. DOJ (SDNY): Founders of Samourai Wallet … sentenced to five and four years, 19 listopada 2025 (wyroki: 6 i 19 XI). (Department of Justice)
  5. Oracle: Security Alert for CVE-2025-61882 (Oracle E-Business Suite), 4 października 2025; BleepingComputer: Cox Enterprises discloses Oracle E-Business Suite data breach, 22 listopada 2025. (Oracle)