Biuletyn Threat Intelligence Nr 12: Grudniowe poprawki w cieniu problemów AI

Podsumowanie

W grudniu producenci opublikowali jedne z ostatnich biuletynów z poprawkami w tym roku. Wyjątkowo niewiele podatności wykryto w Windowsie, bo tylko 57. Jednakże w skali całego roku odnotowano ich ponad 1200, co daje wzrost na poziomie ok. 12% względem 2024 roku. Podobne trendy wzrostowe obserwowane są także u innych producentów oprogramowania. Jednakże największym zagrożeniem w 2025 roku wydają się systemy sztucznej inteligencji. Nieprawidłowe integracje i podatności w przeglądarkach AI sprawiają, że wstrzykiwanie poleceń staje się jednym z najpoważniejszych zagrożeń dla środowisk zarządzanych przez organizacje.

Patch Tuesday w Windows

W grudniu Microsoft udostępnił znacznie mniej poprawek niż zwykle, łatając 57 podatności, z których trzy mają status zero-day [1]. Zgodnie z informacjami opublikowanymi przez amerykańską CISA, jedna z nich jest aktywnie wykorzystywana w atakach [2], choć dotyczy eskalacji uprawnień lokalnego atakującego. Mimo że jej ewentualne wykorzystanie jest ograniczone, to pozostałe luki — zwłaszcza w pakiecie Office — zwiększają powierzchnię ataku na systemach Windows. W związku z tym zaleca się możliwie szybką aktualizację.

Opis najważniejszych podatności

CVE-2025-62221 — 7.8 CVSS — aktywnie wykorzystywana podatność polegająca na eskalacji uprawnień w sterowniku Windows Cloud Files Mini Filter. Błąd typu use-after-free pozwala lokalnemu atakującemu uzyskać uprawnienia SYSTEM.

CVE-2025-64671 — 8.4 CVSS — krytyczna podatność w integracji GitHub Copilot for JetBrains, umożliwiająca zdalne wykonanie kodu poprzez wstrzyknięcie poleceń (command injection). Publicznie dostępny proof-of-concept zwiększa ryzyko szybkiego wykorzystania błędu przez atakujących.

CVE-2025-54100 — 7.8 CVSS — podatność w PowerShell (Invoke-WebRequest), pozwalająca na zdalne wykonanie kodu w kontekście użytkownika. Luka może zostać wykorzystana w skryptach automatyzujących pobieranie treści z sieci. Ma to szczególne znaczenie wobec rosnącej liczby ataków wykorzystujących PowerShell w technice ClickFix (wklej i uruchom).

CVE-2025-62554 i CVE-2025-62557 — każda 8.4 CVSS — krytyczne podatności w pakiecie Microsoft Office, umożliwiające zdalne wykonanie kodu poprzez podgląd dokumentu w oknie podglądu. Nie jest wymagane otwarcie pliku, co czyni tę lukę szczególnie groźną w scenariuszach phishingowych.

Zalecane działania

Zaleca się możliwie szybką instalację aktualizacji: dla kompilacji 25H2 i 24H2: KB5072033, a dla 23H2: KB5071417 [4]. Poprzednie kompilacje Windows 11 nie są już wspierane i rekomendujemy natychmiastowe podniesienie wersji do najnowszej dostępnej.

Krytyczne podatności w SAP

SAP opublikował 14 nowych poprawek w ramach grudniowego Patch Day. Wśród nich znalazły się trzy krytyczne podatności o bardzo wysokiej ocenie CVSS (9.1–9.9). Dotyczą one głównych komponentów: Solution Manager, Commerce Cloud oraz jConnect SDK. Organizacje wykorzystujące oprogramowanie SAP powinny niezwłocznie zainstalować opublikowane aktualizacje [5].

Opis najważniejszych podatności

CVE‑2025‑42880 — 9.9 CVSS — krytyczna podatność polegająca na wstrzyknięciu kodu w Solution Manager, centralnym narzędziu zarządzania SAP. Uwierzytelniony atakujący o niskich uprawnieniach może wstrzyknąć kod wykonywany na uprawnieniach SYSTEM. Solution Manager jest często zintegrowany z wieloma systemami SAP, co czyni tę podatność wyjątkowo poważną.

CVE‑2025‑55754 — 9.6 CVSS — krytyczna podatność umożliwiająca zdalne wykonanie kodu w SAP Commerce Cloud. Wynika ona z błędów w Apache Tomcat i nie wymaga uwierzytelnienia. Wykorzystanie luki może prowadzić do wycieku danych klientów, manipulacji transakcjami i pełnego przejęcia serwera aplikacji.

CVE‑2025‑42928 — 9.1 CVSS — krytyczna podatność, również pozwalająca na zdalne wykonanie kodu, która dotyczy SAP jConnect SDK. W wyniku błędu deserializacji, możliwe jest przeprowadzenie ataku przez uwierzytelnionego aktora o wysokich uprawnieniach. W środowiskach integracyjnych może być wykorzystana do eskalacji ataku.

Zalecane działania

Ze względu na centralną rolę SAP w organizacjach oraz wagę podatności, zaleca się możliwie niezwłoczną aktualizację do najnowszej dostępnej wersji oprogramowania. Podkreślają to między innymi badacze z Onapsis, którzy zgłosili podatność w jConnect SDK [6].

Możliwość obejścia uwierzytelnienia w Fortinet SSO

Fortinet opublikował pilne poprawki bezpieczeństwa dla swoich produktów, reagując na krytyczne podatności CVE-2025-59718 i CVE-2025-59719 (9.8 CVSS), dotyczące błędu weryfikacji podpisów kryptograficznych. Pozwalają one atakującemu na ominięcie uwierzytelniania jednokrotnego logowania (SSO) w FortiCloud poprzez wysłanie zmodyfikowanej wiadomości SAML, jeśli ta funkcja jest włączona. Problem dotyczy FortiOS w wersjach od 6.4 do 7.6, FotiProxy od 7.0 do 7.6, FortiSwitchManager 7.0 i 7.2, jak również FortiWeb od 7.0 do 8.0.

Fortinet wskazuje, że funkcja SSO w FortiCloud nie jest domyślnie włączona. Jednakże dodając nowe urządzenie do FortiCare, SSO zostanie automatycznie aktywowane, chyba że opcja zezwolenia na logowanie administratora przez SSO jest odznaczona [7].

Z tego względu zaleca się możliwie niezwłoczną aktualizację, zgodnie z wytycznymi producenta. Do czasu podniesienia wersji oprogramowania, Fortinet rekomenduje tymczasowe wyłączenie logowania przez FortiCloud z poziomu ustawień lub przez komendę CLI:

config system global
set admin-forticloud-sso-login disable
end

Krytyczne podatności w Ivanti EPM

Ivanti opublikowało krytyczne poprawki dla popularnego produktu Ivanti Endpoint Manager (EPM). Choć na razie nie odnotowano wykorzystania podatności, to umożliwiają one zdalne przejęcie kontroli nad systemem oraz na manipulację jego integralnością. Najpoważniejsza z nich pozwalała na wstrzyknięcie złośliwego kodu JavaScript w interfejsie administratora, co mogło prowadzić do przejęcia sesji i eskalacji uprawnień. Inne luki umożliwiały zapisywanie dowolnych plików na serwerze, obejście weryfikacji podpisów kryptograficznych w mechanizmach aktualizacji oraz nadpisywanie plików poprzez path traversal. Wykorzystanie wykrytych błędów przez atakującego wymagałoby interakcji ze strony użytkownika [8].

Ivanti podkreśliło jednak konieczność natychmiastowej aktualizacji do najnowszej wersji EPM. Producent zwraca również uwagę na to, że EPM nie powinno być wystawione bezpośrednio na sieć zewnętrzną (Internet). Właściwe izolowanie dostarczanego rozwiązania, jak również stosowanie dobrych praktyk (korzystanie z zaufanych serwerów i plików konfiguracyjnych), znacząco minimalizują ryzko [8].

Podatności w grudniu było mniej, lecz zagrożenie dla systemów rośnie

Ze względu na rosnąca liczbę implementacji systemów sztucznej inteligencji, prompt injection staje się coraz poważniejszym problemem. Jedno z największych zagrożeń stanowią przeglądarki AI, które uzyskują szeroki dostęp do treści przy niewielkim nadzorze nad ich pracą. Atlas od twórców ChataGPT okazał się być niezwykle podatny na wstrzykiwanie poleceń [9], a ponadto zawierał krytyczne błędy w architekturze. Wskazać tu należy przechowywanie tokenów służących do autoryzacji do usług zewnętrznych w bazie SQLite, w której wskazano aż 644 uprawnienia odczytu przez inne procesy [10].

Niedawno odkryto również podatność w przeglądarce Comet od twórców Perplexity, która może wykonywać złożone zadania na polecenie użytkownika. Badaczka Amanda Rousseau (Straiker STAR Labs) udowodniła możliwość uruchomienia masowego usuwania plików z Google Drive. Kluczem było wysłanie od ofiary emaila pisanego w odpowiednim tonie — uprzejmym, profesjonalnym, wskazującym na konieczność podjęcia określonych działań. Kiedy polecono Cometowi sprawdzić emaile i wykonać zadania organizacyjne, przeglądarka wykonała polecenia również ze spreparowanych wiadomości, czyszcząc Google Drive [11].

Prompt injection w zintegrowanych AI

Google załatało krytyczną podatność w asystencie AI Gemini Enterprise, umożliwiającą zdalne wykradanie poufnych informacji bez interakcji z użytkownikiem. Atakujący mogli umieścić ukryte instrukcje w udostępnionym pliku Google Docs, zaproszeniu kalendarza lub e-mailu. Podczas korzystania z Gemini, AI wykrywała tak podsunięte informacje jako polecenie i wysyłała wyniki do atakującego. W odpowiedzi Google rozdzieliło systemy Gemini Entrerprise oraz Vertex AI Search, jak również wdrożyło zmiany w sposobie indeksowania i wyszukiwania [12].

Google zabezpiecza Gemini przez przeglądarkę Chrome

Google poinformowało o wprowadzeniu do przeglądarki Chrome wielowarstwowych zabezpieczeń przed prompt injection w modelach AI. Kluczową nowością jest User Alignment Critic — oddzielny model AI, który po zaplanowaniu akcji przez główny model, ocenia ją wyłącznie na podstawie metadanych, aby sprawdzić, czy faktycznie odpowiada intencjom użytkownika. W przypadku wykrycia niezgodności model może zablokować działania lub zaproponować ich poprawkę.

Dodatkowo Google wzmocnił mechanizmy izolacji pochodzenia (Agent Origin Sets), dzięki którym agent AI może czytać lub zapisywać tylko na wyraźnie zatwierdzonych stronach, co ogranicza ryzyko wycieku danych z niepowiązanych witryn. Wdrożono również selektywne potwierdzenia od użytkownika przy krytycznych operacjach [13].

Wnioski

Utrzymanie wzrostowego trendu liczby wykrytych podatności w 2025 roku nie jest zaskoczeniem. Co więcej, zarządzanie poprawkami jest co do zasady procesem dobrze opisanym, a administratorzy wykazują się dużym doświadczeniem w tym zakresie.

Dlatego jednym z największych źródeł podatności wydają się być systemy sztucznej inteligencji. Ze względu na wyjątkowo szybki ich rozwój oraz brak wytycznych, zarządzanie integracjami z AI stanowiło duże wyzwanie. Norma ISO/IEC 42001:2023 dopiero zaczyna być wdrażana, a wytyczne szczegółowe (jak np. CISA dla systemów OT) wciąż są niewystarczające. Tymczasem użytkownicy coraz szerzej korzystają z modeli ogólnego przeznaczenia, czy przeglądarek internetowych, takich jak Atlas i Comet. Działania te zwiększają powierzchnię ataku w sposób przekraczający możliwości zespołów IT.

Dlatego rekomendujemy stałe śledzenie zagrożeń ze strony podatności także ze strony AI, celem blokowania nieautoryzowanych przypadków użycia. Co istotne, warto oszacować ryzyka i szanse dla organizacji związane z użyciem AI, by móc zaoferować oficjalnie zatwierdzone rozwiązania. Próba zupełnego odejścia od AI będzie nieskuteczna. Użytkownicy posłużą się prywatnymi urządzeniami, a to zupełnie uniemożliwi nadzór nad wyciekami informacjami. Dlatego istotnym staje się wdrażanie systemowych zabezpieczeń w zarządzaniu AI, tak aby implementować rozwiązania skutecznie realizujące założone cele przy minimalizowaniu ryzyka. Podkreślić jednak należy, że takowymi nie są przeglądarki AI, które uznać należy za niebezpieczne i aktualnie niezarządzalne dla organizacji.

Zdecydowanie rekomendujemy ich blokowanie oraz edukowanie użytkowników na temat zagrożeń, które niosą Atlas i Comet. Naszym zdaniem przeglądarki te wyraźnie wskazują na wciąż prowadzone testy funkcjonalności, w których wykorzystywane jest już szerokie grono odbiorców. Sednem problemu jest udostępnienie możliwie największej liczby funkcji, dopiero później poprawianych w zakresie bezpieczeństwa (na podstawie wykrytych podatności).

Opracowanie: Mateusz Rakowski