Ikona podsumowanie

Podsumowanie

Wraz z początkiem lipca, producenci popularnego oprogramowania wydali kolejne, zbiorcze aktualizacje swoich produktów, które łatają liczne podatności. Tym razem ryzyko z nich wynikające pozostaje umiarkowane, m.in. nie odnotowano podatności typu zer-day. Zupełnie inaczej wygląda obraz bezpieczeństwa infrastruktury przedsiębiorstw. Między innymi Cisco w ostatnim czasie mierzyło się z aż trzema krytycznymi podatnościami o najwyższej ocenie ryzyka (CVSS).

Ikona malware

Microsoft łata 173 podatności w Windows

Microsoft wydał lipcową paczkę comiesięcznych poprawek — aktualizację Patch Tuesday. Zaadresowano w niej łącznie 137 podatności, w tym 14 krytycznych. Tym razem żadna z nich nie była podatnością typu zero-day, ani też żadnej aktywnie nie wykorzystywano. Niemniej, kilka z wykrytych błędów w oprogramowaniu wciąż stanowi zagrożenie dla bezpieczeństwa systemów informatycznych, dlatego zalecana jest możliwie niezwłoczna aktualizacja.

Przegląd podatności

CVE-2025-49719 — 7.5 CVSS — nieprawidłowa walidacja danych wejściowych w programie SQL Server (wszystkie wersje od SQL Server 2016) umożliwia nieautoryzowanemu atakującemu ujawnienie informacji w sieci. Choć Microsoft ocenia ją jako mniej prawdopodobną do wykorzystania, dostępność kodu proof-of-concept sprawia, że powinna być priorytetem dla przedsiębiorstw [1].

CVE-2025-49695 i CVE-2025-49696 — każda 8.4 CVSS — krytyczne podatności pakietu Microsoft Office, pozwalające na zdalne wykonanie kodu (RCE). Mogą być wykorzystane nawet w oknie podglądu dokumentu, bez jego otwierania. Co więcej, Microsoft ocenia prawdopodobieństwo ich użycia w atakach jako wysokie.

CVE-2025-47981 — 9.8 CVSS — najpoważniejsza w tej aktualizacji, krytyczna podatność w rozszerzonym systemie negocjacji SPNEGO (NEGOEX). Umożliwia nieautoryzowanemu atakującemu na wykonanie kodu w sieci przez wykorzystanie błędu polegającego na przepełnieniu bufora sterty. Jest to możliwe np. przez wysłanie spreparowanego żądania do serwera. Dotyczy systemów Windows 10 w wersji 1607 i nowszych oraz wszystkich instalacji Windows Server [2].

CVE-2025-48001, CVE-2025-48003, CVE-2025-48800, CVE-2025-48804, i CVE-2025-48818 — każda 6.8 CVSS) — zestaw podatności w narzędziu Bitlocker. Umożliwiają one osobie z fizycznym dostępem do komputera na obejście zabezpieczeń i uzyskanie dostępu do zaszyfrowanych danych [3].

Zalecane działania

Zalecana jest niezwłoczna aktualizacja systemów Windows — w wersjach dedykowanych stacjom roboczym i serwerom — do najnowszej, dostępnej wersji.

Warto także podkreślić, że 8 lipca wyznacza koniec wsparcia dla Windows Server 2012 w programie rozszerzonego wsparcia poprawkami (ESU). Z kolei 14 października systemy Windows 10 przestaną otrzymywać darmowe aktualizacje bezpieczeństwa.

Ikona malware

Fortinet: aktualizacje w odpowiedzi na trzy podatności 

Firma Fortinet wydała aktualizacje dla produktów FortiOS, FortiProxy, FortiVoice i FortiWeb. Wykryte podatności dotyczą niewystarczającej walidacji danych, SQL injection, czy możliwości nieuprawnionego wykonania kodu.

Przegląd podatności

CVE-2025-47856 — 7.2 CVSS — podatność umożliwiająca nieuprawnione wykonanie kodu (w tym przypadku dowolnych poleceń) w FortiVoice. Potencjalny atak może być przeprowadzany przez wysyłanie odpowiednio spreparowanych zapytań HTTP lub z użyciem CLI [4].

CVE-2025-52965 — 6.8 CVSS — podatność w implementacji API dla systemów FortiOS oraz FortiProxy. Polega na niewystarczającej walidacji danych połączeniowych, co pozwala użytkownikowi na uzyskanie dostępu do API przy użyciu api-key oraz dowolnego certyfikatu PKI [5].

CVE-2025-25257 — 9.6 CVSS — krytyczna podatność klasy SQL injection w FortiWeb. Umożliwia ona nieautoryzowanemu atakującemu wykonanie kodu SQL poprzez wysyłanie odpowiednio spreparowanych zapytań HTTP lub HTTPS [6].

Zalecane działania

Zalecana jest niezwłoczna aktualizacja produktów, zgodnie z zaleceniami producenta, dla FortiVoice, FortiOS i FortiProxy oraz FortiWeb. W przypadku błędu SQL injection, możliwe jest także wyłączenie konsoli administracyjnej HTTP/HTTPS jako tymczasowe rozwiązanie problemu w FortiWeb.

Ikona malware

Aktualizacje dla oprogramowania Adobe

Firma Adobe poinformowała o wydaniu aktualizacji bezpieczeństwa dla popularnych produktów, takich jak After Effects, InDesign, Illystrator, Audition, czy FrameMaker. Załatane zostały podatności wykorzystujące m.in. błędy pamięci, a które umożliwiały nieuprawnione wykonywanie kodu, podniesienie uprawnień, czy dostęp do plików systemowych. Chociaż nie ma informacji o wykorzystaniu którejkolwiek z tych podatności, to wiele z nich oceniono jako krytyczne. Dlatego zalecana jest możliwie niezwłoczna aktualizacja [7].

Ikona malware

Podsumowanie krytycznych podatności w produktach Cisco

W ostatnim czasie firma Cisco poinformowała o wykryciu kilku krytycznych podatności o maksymalnej ocenie w skali CVSS w swoich produktach, które mogą stanowić poważne zagrożenie dla bezpieczeństwa systemów. W Unified Communications Manager (Unified CM) oraz Unified Communications Manager Session Management Edition (Unified CM SME) wykryto podatność CVE-2025-20309 (10.0 CVSS). Podatność ta wynika z obecności statycznych, niezmiennych poświadczeń użytkownika root, co umożliwia nieautoryzowanemu atakującemu na zalogowanie się do urządzenia i wykonanie dowolnych poleceń z uprawnieniami root [8].

Dodatkowo, w Identity Services Engine (ISE) oraz ISE Passive Identity Connector (ISE-PIC) odkryto dwie krytyczne podatności: CVE-2025-20281 oraz CVE-2025-20282 (obie 10.0 CVSS). Pierwsza z nich pozwala na zdalne wykonanie dowolnego kodu na systemie operacyjnym poprzez niewystarczającą walidację danych wejściowych, natomiast druga umożliwia przesyłanie i wykonywanie dowolnych plików na zaatakowanym urządzeniu [9].

Podatności oceniane na 10.0 CVSS są rzadkością, z kolei trzy z rzędu w mniej niż tydzień — są raczej niespotykane. Tak wyjątkowa sytuacja wymaga zdecydowanego działania, w szczególności przez niską złożoność potencjalnych ataków. Co więcej, przez brak dostępnych obejść, aktualizacje narażonych produktów są jedynym skutecznym sposobem zmniejszenia ryzyka.

 

Ikona malware

Wnioski

Liczba załatanych luk w zabezpieczeniach jest duża, zwłaszcza w przypadku Windows czy Adobe, choć tym razem nie odnotowano podatności typu zero-day. Należy jednak podkreślić, że udział podatności krytycznych w ogólnej ich liczbie pozostaje na podobnym poziomie. Z tego względu aktualizacje oprogramowania warto instalować możliwie szybko po ich opublikowaniu.

Niezmiennie, wektorem ataków pozostają przeglądarki. W ostatnim czasie Chrome załatało krytyczną i aktywnie wykorzystywaną lukę w zabezpieczeniach silnika V8. Z kolei Firefox mierzył się z czterdziestoma złośliwymi dodatkami, które wykradały dane, głównie dotyczące portfeli kryptowalutowych.

Jak wskazywaliśmy w poprzednim wydaniu Biuletynu (nr 7), aktualizacje wciąż stanowią duży problem dla użytkowników. Złe nawyki, brak zaufania i niezrozumienie skali problemu wiązać się mogą z poważnymi konsekwencjami.

 

Opracowanie: Mateusz Rakowski

Biuletyn
Threat Intelligence
Nr 8, lipiec 2025Niniejszy biuletyn jest przeglądem bieżących zagrożeń i technik stosowanych w cyberatakach, skierowanym do wszystkich użytkowników systemów IT. Zachęcamy do jego udostępniania, gdyż podnoszenie świadomości jest kluczowe dla zapewnienia bezpieczeństwa informacji.