Biuletyn Threat Intelligence nr 4: liczne podatności w popularnym oprogramowaniu

Podsumowanie

Niniejsze wydanie Biuletynu Threat Intelligence jest notą ostrzegającą o podatnościach w popularnym oprogramowaniu, zarówno konsumenckim jak i biznesowym. Apple i Microsoft wydały comiesięczne poprawki bezpieczeństwa, w każdym przypadku łatając podatności krytyczne i aktywnie wykorzystywane. VMware, Fortinet i Kubernets także wydały ostrzeżenia o poważnych lukach w zabezpieczeniach. Ponadto przygotowano krótką analizę bieżących ataków na SAP oraz rzekomo nieskutecznych poprawek w Commvault.

Aktualizacja Windows Patch Tuesday usuwa 5 aktywnie wykorzystywanych luk

Firma Microsoft wydała comiesięczną aktualizacje zabezpieczeń, usuwającą 78 luk w zabezpieczeniach, z których 11 zostało ocenionych jako krytyczne, 5 jest aktywnie wykorzystanych w atakach, a 2 są publicznie znane, lecz jeszcze niewykorzystane [1, 2, 3]. Należy podkreślić, że żadna z podatności używanych w atakach nie jest krytyczna. Niemniej, zarówno Microsoft, jak i amerykańska CISA wydały noty o konieczności aktualizacji systemów Windows [4].

Przegląd podatności

CVE-2025-30400 (7.8 CVSS) — aktywnie wykorzystywana — umożliwia atakującym uzyskanie podwyższonych uprawnień poprzez wykorzystanie warunku use-after-free w bibliotece podstawowej Menedżera okien pulpitu systemu Windows (DWM). Skuteczne wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu i kontroli nad systemami, których dotyczy problem.

CVE-2025-32701 (7.8 CVSS) — aktywnie wykorzystywana — luka w sterowniku CLFS umożliwia eskalację uprawnień przy użyciu use-after-free. Atakujący mogą uzyskać uprawnienia na poziomie systemu, co stanowi poważne zagrożenie dla integralności Windows.

CVE-2025-32706 (7.8 CVSS) — aktywnie wykorzystywana — polega na przepełnieniu bufora stack w sterowniku CLFS, co pozwala atakującym na eskalację uprawnień. Wykorzystanie tej luki może prowadzić do wykonania dowolnego kodu z podwyższonymi uprawnieniami.

CVE-2025-30397 (7.8 CVSS) — aktywnie wykorzystywana — luka typu type-confusion w zabezpieczeniach mechanizmu skryptów systemu Windows umożliwia atakującym wykonanie złośliwego kodu za pośrednictwem specjalnie spreparowanej zawartości internetowej. Zdalne wykonanie kodu może zagrozić bezpieczeństwu systemów, których dotyczy problem.

CVE-2025-32709 (7.8 CVSS) — aktywnie wykorzystywana — luka w sterowniku WinSock umożliwia eskalację uprawnień w stanie use-after-free. Osoby atakujące mogą uzyskać podwyższone uprawnienia, co prowadzi do potencjalnego naruszenia bezpieczeństwa systemu.

Większość krytycznych luk w zabezpieczeniach dotyczy pakietu Microsoft Office i klienta pulpitu zdalnego. M.in. podatność CVE-2025-29831, oceniona jako ważna ze względu na niskie ryzyko wykorzystania, może prowadzić do zdalnego wykonania kodu bez żadnej autoryzacji [5].

Zalecane działania

Zaleca się jak najszybsze zainstalowanie dostępnych aktualizacji dla danych wersji systemu i kompilacji:

— KB5058411 — w systemie Windows 11 24H2.
— KB5058405 — w systemie Windows 11 23H2.
— KB5058379 — w systemie Windows 10 (przypominamy: wsparcie zakończy się w październiku 2025).

Apple łata aktywnie wykorzystywaną podatność

Apple wydało obszerny zestaw aktualizacji w swoich systemach operacyjnych, w tym iOS 18.5, macOS Sequoia 15.5 i innych. Aktualizacje te usuwają łącznie 65 luk w zabezpieczeniach, z których wiele jest krytycznych w kontekście cyberbezpieczeństwa — jedna z nich została już wykorzystana w atakach ukierunkowanych. Ponadto majowa aktualizacja zawiera poprawki dla starszych wersji systemów operacyjnych Apple [6].

Przegląd podatności

CVE-2025-31200 (7.5 CVSS) — luka w zabezpieczeniach umożliwiająca wykonanie kodu za pomocą złośliwie spreparowanych plików multimedialnych. Jest aktywnie wykorzystywana w atakach ukierunkowanych.

CVE-2025-24213 (7.8 CVSS) — podatność typu type confusion w WebKit, który może prowadzić do uszkodzenia pamięci, potencjalnie umożliwiając atakującym wykonanie dowolnego kodu.

CVE-2025-31214 (brak CVSS) — luka w paśmie podstawowym modemu C1 iPhone’a 16e, która może zostać wykorzystana do przechwytywania ruchu sieciowego i prowadzić do ujawnienia informacji.

CVE-2025-31222 (brak CVSS) — luka w zabezpieczeniach umożliwiająca eskalację uprawnień w mDNSResponder, umożliwiająca atakującym uzyskanie podwyższonych uprawnień.

CVE-2025-31251 (brak  CVSS) — problem w formacie AppleJPEG, który mógł prowadzić do nieoczekiwanego zakończenia działania aplikacji lub uszkodzenia pamięci podczas przetwarzania złośliwie spreparowanych plików multimedialnych.

Zalecane działania

Zaleca się zainstalowanie najnowszych aktualizacji na wszystkich urządzeniach, na których są dostępne:

— iOS, iPadOS i tvOS: aktualizacja do wersji 18.5,
— macOS: aktualizacja do wersji 15.5,
— watchOS: aktualizacja do wersji 11.5,
— visionOS: aktualizacja do wersji 2.5.

Luka w VMware dotycząca obsługi plików

Broadcom wydało rekomendację dotyczącą luki w zabezpieczeniach narzędzi VMware — CVE-2025-22247. Pomimo umiarkowanego wyniku 6.1 CVSS, podatność ta pozwala zwykłemu użytkownikowi na maszynie gościa na manipulowanie lokalnymi plikami. Luka w zabezpieczeniach dotyczy narzędzi VMware w wersjach 11.x.x i 12.x.x na platformach Windows i Linux.

Przegląd podatności

Atakujący bez uprawnień administracyjnych, na maszynie wirtualnej gościa, może wykorzystać opisywaną lukę w zabezpieczeniach do manipulowania plikami lokalnymi, skutkując nieautoryzowanymi operacjami. Problem wynika z nieprawidłowego rozpoznawania linków przed uzyskaniem dostępu do pliku. Stanowi to zagrożenie bezpieczeństwa, ponieważ zmiany w plikach konfiguracyjnych mogą prowadzić do eskalacji uprawnień lub innych złośliwych operacji [7].

Zalecane działania

Zaleca się natychmiastową aktualizację narzędzi VMware Tools do wersji 12.5.2, która usuwa tę lukę w zabezpieczeniach 1 3. W przypadku 32-bitowych systemów Windows problem został już rozwiązany w narzędziach VMware Tools 12.4.7, które znajdują się w wersji 12.5.2. W przypadku systemów Linux open-vm-tools będą dystrybuowane przez dostawców systemu Linux, a konkretne wersje mogą się różnić.

Fortinet ostrzega przed krytycznymi podatnościami

Fortinet opublikował zalecenia dotyczące krytycznych luk w zabezpieczeniach wielu swoich produktów. Podatność CVE-2025-32756 (9.6 CVSS), dotycząca FortiVoice, FortiMail, FortiNDR, FortiRecorder i FortiCamera, jest już aktywnie wykorzystywana przez atakujących. W związku z tym urządzenia Fortinet powinny zostać niezwłocznie zaktualizowane [8, 9, 10].

Przegląd podatności

CVE-2025-32756 (9.6 CVSS) — krytyczna luka w zabezpieczeniach polegająca na przepełnieniu bufora opartego na stosie, która dotyczy głównie systemów FortiVoice. Umożliwia zdalnym atakującym wykonanie dowolnego kodu w docelowych systemach poprzez wysyłanie specjalnie spreparowanych żądań HTTP. Skutki udanego wykorzystania luki w zabezpieczeniach mogą prowadzić do całkowitego przejęcia systemu, umożliwiając dalszą eksfiltrację danych, manipulację systemem i penetrację sieci.

CVE-2025-22252 (9.0 CVSS) — krytyczna luka w zabezpieczeniach umożliwiająca obejście uwierzytelniania w FortiOS, FortiProxy i FortiSwitchManager, jeżeli skonfigurowano je do użycia zdalnego serwera TACACS+ z uwierzytelnianiem ASCII. Podatność umożliwia atakującym, którzy mają wiedzę na temat istniejącego konta administratora, na ominięcie uwierzytelniania i uzyskanie dostępu administracyjnego do urządzenia.

CVE-2025-25251 (7.4 CVSS) — poważna luka w zabezpieczeniach FortiClient dla komputerów Mac. Umożliwia lokalnemu atakującemu eskalację uprawnień poprzez wysyłanie spreparowanych wiadomości XPC. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu i kontroli nad systemem, którego dotyczy luka.

Zalecane działania

Zaleca się natychmiastową aktualizację urządzeń.

FortiVoice, FortiMail, FortiNDR, FortiRecorder i FortiCamera: pełna lista oprogramowania zawierającego luki w zabezpieczeniach i szanowanych aktualizacji jest dostępna w poradniku FG-IR-25-254 Fortinet [8]. Ponadto zawiera wskaźniki naruszenia logów systemowych, adresów IP, zmodyfikowanych ustawień i plików. Jeśli natychmiastowa aktualizacja nie jest możliwa, zdecydowanie zalecamy wyłączenie interfejsu administracyjnego HTTP/HTTPS jako tymczasowego obejścia w celu zmniejszenia narażenia.

FortiOS, FortiProxy i FortiSwitchManager: pełna lista oprogramowania zawierającego luki w zabezpieczeniach i szanowanych aktualizacji jest dostępna w poradniku FG-IR-24-472 Fortinet [9]. Co więcej, zagrożone są tylko konfiguracje z uwierzytelnianiem ASCII. Nie ma to wpływu na konfiguracje oparte o protokoły PAP, MSCHAP i CHAP.

FortiClientMac: nie są dostępne żadne działania tymczasowe. Oprogramowanie powinno zostać niezwłocznie zaktualizowane [10]:

— 7.4.0 do 7.4.2 — uaktualnienie do wersji 7.4.3 lub nowszej.
— 7.2.0 do 7.2.8 — uaktualnienie do wersji 7.2.9 lub nowszej.
— 7.0 wszystkie wersje — migracja do stałej wersji.

Liczne podatności w Kubernets RedHat

Firma IBM opublikowała ostrzeżenie dotyczące luk w zabezpieczeniach RedHat Multicluster Engine for Kubernetes. Podatności te zostały ocenione jako poważne, ze względu na ich potencjalny wpływ na bezpieczeństwo i stabilność systemu.

Przegląd podatności

Przedmiotowe luki w zabezpieczeniach mogą prowadzić do ataków typu denial-of-service (DoS) lub zdalnego wykonania kodu (RCE) w narażonych systemach. Jako najpoważniejsze wymieniono:

CVE-2025-22868 (7.5 CVSS) — luka w zabezpieczeniach biblioteki golang.org/x/oauth2/jws, może prowadzić do nieoczekiwanego zużycia pamięci podczas analizowania tokenów. Skutkować może DoS, wpływając na dostępność silnika wieloklastrowego.

CVE-2025-30204 (7.5 CVSS) — luka w zabezpieczeniach wykryta w bibliotece golang-jwt/jwt, umożliwiająca nadmierną alokację pamięci podczas parsowania nagłówka. Osoby atakujące mogą wykorzystać tę lukę, aby spowodować wyczerpanie pamięci. To z kolei może prowadzić do awarii systemu i zakłóceń w działaniu usług (DoS).

Zalecane działania

Zaleca się aktualizację RedHat Multicluster Engine for Kubernetes do wersji 2.5.9.

Nota informacyjna dla podatności w SAP i Commvault

Opublikowano analizę luki w zabezpieczeniach SAP NetWeaver (CVE-2025-31324, 10.0 CVSS), w związku z którą 9 maja wydaliśmy notatkę Threat Intelligence. Jej wyniki wskazują na kontynuację ataków. Zidentyfikowana kampania obejmuje kilka chińskich klastrów cyberprzestępców, w tym UNC5221, UNC5174 i CL-STA-0048. Grupy te używają powłok internetowych do utrzymywania dostępu i wdrażania różnych złośliwych programów, takich jak KrustyLoader i SNOWLIGHT. Atakujący przeprowadzili również szeroko zakrojone skanowanie Internetu w celu zidentyfikowania podatnych na ataki instancji SAP NetWeaver. Podkreśla to szeroki zakres i wpływ przedmiotowych włamań. Ponieważ znaleziono dowody na dalsze plany ataków, zaleca się natychmiastową aktualizację SAP NetWeaver, jeśli jeszcze tego nie zrobiono [11].

Ponadto firma Commvault odniosła się do obaw dotyczących skuteczności poprawki dla luki CVE-2025-34028 (10.0 CVSS), w Command Center. Podatność ta polega na fałszowaniu żądań po stronie serwera (SSRF) przed uwierzytelnieniem. W efekcie może umożliwić atakującym naruszenie bezpieczeństwa środowiska Command Center. Commvault podkreślił, że łatka, dostępna w wersjach 11.38.20 i 11.38.25, skutecznie ogranicza ryzyko. Firma zauważyła również, że od czasu wydania łatki nie było żadnych oznak aktywnego wykorzystania tej luki.

Początkowo badacz bezpieczeństwa Will Dormann twierdził, że łatka nie działa [12]. Było to jednak spowodowane brakiem rejestracji środowiska testowego w Commvault. Jak się okazało, instancje maszyn wirtualnych uruchomione na platformie Azure lub AWS nie „widziały” nawet aktualizacji, jeśli wcześniej nie zostały zarejestrowane. W związku z tym wyświetlono komunikat „brak dostępnych aktualizacji” i takie systemy nigdy nie otrzymałyby poprawek. Firma Commvault rozwiązała już ten problem i zaoferowała aktualizacje także dla użytkowników wersji trial [13].

Opracowanie: Mateusz Rakowski