Biuletyn Threat Intelligence Nr 7: Czerwcowe poprawki wielu producentów łatają krytyczne podatności

Podsumowanie

Firmy Microsoft i Adobe i SAP wydały komunikaty o zbiorczych aktualizacjach, łatających krytyczne podatności w swoich produktach (kolejno 66, 254 i 14 luk). Choć przez objętość poprawek informacje o nich stają się dominujące, to nie powinny odwrócić uwagi od pozostałych obszarów. Tylko w czerwcu dziesiątki producentów wydały zbiorcze aktualizacje, w tym dla urządzeń IoT (Internet of Things). Podatności z nich wynikające są aktualnie wykorzystywane przez grupy przestępcze, które w sposób często niezauważony infiltrować mogą nasze domowe i biurowe sieci.

Czerwcowe poprawki systemów Windows

Firma Microsoft wydała comiesięczną aktualizację Patch Tuesday, usuwającą 66 luk w zabezpieczeniach, z których 10 zostało ocenionych jako krytyczne. Dwie z nich to podatności typu zero-day, w tym jedna aktywnie wykorzystywana w atakach. Większość krytycznych luk skutkować może zdalnym wykonaniem kodu (RCE) oraz eskalacją uprawnień (EoP).

Przegląd podatności

CVE-2025-33053 (9.8 CVSS) — aktywnie wykorzystywana — luka w usłudze WebDAV umożliwia zdalne wykonanie kodu poprzez specjalnie spreparowane adresy URL. Atakujący mogą uzyskać pełną kontrolę nad systemem. Podatność tę wykorzystała już grupa APT Stealth Falcon do cyberszpiegostwa przeciw obronności Turcji, Katau, Egiptu i Jemenu [2].

CVE-2025-33073 (8.1 CVSS) — zero-day — luka w kliencie SMB umożliwia eskalację uprawnień poprzez specjalnie spreparowane skrypty, które zmuszają maszyny do uwierzytelnienia się za pomocą SMB.

CVE-2025-47172 (8.8 CVSS) — krytyczna — luka w Microsoft SharePoint Server umożliwia zdalne wykonanie kodu poprzez niewłaściwą neutralizację specjalnych elementów używanych w poleceniach SQL.

CVE-2025-29828 (8.1 CVSS) — krytyczna — luka w Windows Schannel (Secure Channel) umożliwia zdalne wykonanie kodu poprzez złośliwe wykorzystanie fragmentowanych wiadomości ClientHello.

CVE-2025-32710 (8.1 CVSS) — krytyczna — luka w Windows Remote Desktop Services umożliwia zdalne wykonanie kodu poprzez wywołanie warunku race condition.

Zalecane działania

Krytyczne luki, szczególnie te umożliwiające zdalne wykonanie kodu i eskalację uprawnień, wymagają natychmiastowej uwagi. Dlatego zaleca się niezwłoczne zainstalowanie dostępnych aktualizacji:

— KB5060842 — w systemie Windows 11 24H2.

— KB5060999 — w systemie Windows 11 22H2 i 23H2.

— KB5060533 — w systemie Windows 10 (przypominamy: wsparcie zakończy się w październiku 2025, należy rozważyć przejście na nowszą wersję systemu).

Adobe łata 254 podatności

Firma Adobe wydała poprawki usuwające 254 luki w zabezpieczeniach kilku swoich produktów, w tym Acrobat Reader, InDesign, platformy handlu elektronicznego i systemu zarządzania zawartością. Żadna z luk nie była jeszcze aktywnie wykorzystywana, lecz 18 z nich zostało sklasyfikowanych jako krytyczne. Biorąc pod uwagę szeroką gamę produktów, których dotyczy problem, w tym bardzo popularnych, zaleca się, aby użytkownicy szybko zaktualizowali swoje oprogramowanie.

Przegląd podatności

Większość podatności (225) została wykryta w programie Adobe Experience Manager (AEM) — głównie z nich to luki typu cross-site scripting (XSS). Mogą one potencjalnie umożliwić atakującym wykonanie dowolnego kodu, eskalację uprawnień i ominięcie funkcji bezpieczeństwa [3].

Jedną z najpoważniejszych luk w zabezpieczeniach, którą zaadresowano, jest CVE-2025-47110 (CVSS 9.1). Jest to podatność w XSS w Adobe Commerce i Magento Open Source, umożliwiającą wykonanie dowolnego kodu. Ponadto niewłaściwa luka w autoryzacji (CVE-2025-43585, CVSS 8.2) w rozwiązaniu Adobe Commerce może umożliwić atakującym ominięcie zabezpieczeń [4].

Inne godne uwagi luki w zabezpieczeniach obejmują krytyczne błędy w wykonywaniu kodu w programach Adobe InCopy (CVE-2025-30327, CVE-2025-47107) i Adobe Acrobat Reader (CVE-2025-43573, CVE-2025-43574, CVE-2025-43575, CVE-2025-43576) — każda z nich uzyskała wynik CVSS 7.8 [5].

Zalecane działania

Krytyczny charakter niektórych z luk w zabezpieczeniach, w szczególności tych, które mogą prowadzić do wykonania dowolnego kodu i eskalacji uprawnień, podkreśla znaczenie podjęcia natychmiastowych działań. Dlatego zaleca się zainstalowanie wszystkich dostępnych aktualizacji, szczególnie dla popularnego oprogramowania, takiego jak Acrobat Reader. Warto zauważyć, że w przeciwieństwie do większości czytników PDF, Acrobat Reader umożliwia osadzanie JavaScript w plikach PDF. Dlatego korzystanie ze zaktualizowanej wersji jest kluczowe w przypadku otwierania dokumentów z mniej zaufanych źródeł.

Zbiorcze poprawki SAP rozwiązują problem w NetWeaver

Firma SAP opublikowała czerwcowy zestaw poprawek bezpieczeństwa, które obejmują krytyczną podatność w SAP NetWeaver Application Server for ABAP. Poza nią, najnowsza aktualizacja łata również 13 innych luk, w dużej części o wysokim ryzyku [6].

Przegląd podatności

Podatność CVE-2025-42989 w SAP NetWeaver Application Server for ABAP pozwala uwierzytelnionym atakującym na obejście standardowych mechanizmów autoryzacji i eskalację uprawnień w systemach przedsiębiorstw. Problem ten dotyczy frameworku Remote Function Call (RFC), który jest kluczowy dla wymiany danych w środowiskach SAP. Atakujący mogą wykorzystać tę lukę do wykonania nieautoryzowanych operacji, które normalnie wymagałyby podwyższonych uprawnień S_RFC [7].

Pozostałe podatności obejmują m.in.:

— CVE-2025-42982 (8.8 CVSS) — ujawnienie informacji w SAP GRC (AC Plugin).

— CVE-2025-42983 (8.5 CVSS) — brak autoryzacji w SAP Business Warehouse.

— CVE-2025-23192 (8.2 CVSS) — podatność typu Cross-Site Scripting (XSS) w SAP BusinessObjects Business Intelligence.

Zalecane działania

Zaleca się natychmiastową aktualizację systemów SAP do najnowszej, dostępnej wersji. Zaleca się także przeprowadzenie konfiguracji zgodnie z wytycznymi SAP, w tym aktywację poprawionego mechanizmu autoryzacji RFC. Szczegóły opublikowano w notatce #3600840 dla klientów SAP).

Produkty dla przedsiębiorstw narażone na ataki

W ostatnich dniach opublikowano aktualizacje popularnych produktów kierowanych do przedsiębiorstw. Fortinet, Ivanti i Elastic wydały poprawki łatające krytyczne i poważne podatności, o potencjalnie poważnych konsekwencjach dla firm. Błędy dotyczą. zaszycia poświadczeń bezpośrednio w kodzie oraz eskalacji uprawnień.

FortiOS, FortiProxy i FortiWeb

Fortinet ujawnił poważną podatność CVE-2025-22254 (6.5 CVSS), która dotyczy wielu produktów, w tym FortiOS, FortiProxy oraz FortiWeb. Luka ta pozwala uwierzytelnionym atakującym z uprawnieniami co najmniej read-only admin na uzyskanie uprawnień super-admin poprzez spreparowane żądania do modułu websocket Node.js. Atakujący mogą wykorzystać tę lukę do eskalacji uprawnień i uzyskania pełnej kontroli nad zaatakowanymi systemami. Szczegóły aktualizacji (wersje oprogramowania) opublikowane są w komunikacie Fortinet [8].

Elastic Kibana

Firma Elastic poinformowała o zaadresowaniu podatności CVE-2024-43706 (7.8 CVSS), dotyczącej Synthetic Monitoring w Kibana. Pozwala ona atakującym na nadużycie uprawnień poprzez bezpośrednie wysyłanie żądań HTTP do endpointu. W efekcie, użytkownicy z niższymi uprawnieniami mogą uzyskać dostęp do funkcji Synthetic Monitoring, omijając ograniczenia interfejsu użytkownika. Skutkować to może nieautoryzowanym dostępem do danych lub wywoływaniem działań bez odpowiednich uprawnień. Podatność dotyczy wersji Kibana 8.12.0 i starszych, a została załatana w wersji 8.12.1 1 2 [9].

Ivanti

Firma Ivanti zaadresowała trzy krytyczne podatności w Ivanti Workspace Control: CVE-2025-5353, CVE-2025-22463 oraz CVE-2025-22455. Wynikają one z osadzenia w kodzie danych uwierzytelniających. Pozwala to lokalnym uwierzytelnionym atakującym na odszyfrowanie przechowywanych danych, w tym haseł do baz danych SQL. Atakujący mogą wykorzystać te luki do uzyskania dostępu do wrażliwych informacji oraz potencjalnie przeprowadzenia dalszych ataków na infrastrukturę przedsiębiorstwa. Ivanti zaleca aktualizację do wersji 10.19.10.0, która zawiera poprawki eliminujące wskazane podatności [10].

 

Brak aktualizacji: szerszy problem z poważnymi konsekwencjami

Warto zwrócić uwagę, czy zainstalowane oprogramowanie jest aktualne — niezależnie od rodzaju urządzenia. Od początku czerwca wielu producentów wydało poprawki, w tym pilne. Uwagę zwykle kierujemy na systemy operacyjne (jak Windows lub Linux), lub najpopularniejsze aplikacje (przeglądarki internetowe, np. Chrome i Firefox). Część użytkowników zwraca też uwagę na bezpieczeństwo komponentów (AMD, Intel, MediaTek, Qualcomm), czy dedykowane oprogramowanie (Dell, Lenovo).

Coraz poważniejszym problemem staje się jednak IoT (Internet of Things) — wszelkie smart-urządzenia pracujące niezauważenie w domach i biurach. Tylko w ostatnich dniach analiza techniczna Darktrace wskazała na wykorzystanie IoT opartego o Linux do budowy botnetu. Jego celem było wykradanie uwierzytelnień SSH i kopanie kryptowalut [11]. W marcu tego roku, badacz z Cato Networks poinformował o botnecie Balista, wykorzystującym routery TP-Link. Użyta podatność podchodziła z 2023 roku [12]. Brak przywiązywania uwagi do starszych lub pozornie nieistotnych urządzeń („bo przecież działa”), narażać nas może na infiltrację własnych sieci i jej zasobów. To z kolei może stać się wektorem kolejnych ataków — obierających za cel wykradanie naszych prywatnych danych, czy bankowość elektroniczną.

 

Opracowanie: Mateusz Rakowski