Podsumowanie
Wraz z początkiem lipca, producenci popularnego oprogramowania wydali kolejne, zbiorcze aktualizacje swoich produktów, które łatają liczne podatności. Tym razem ryzyko z nich wynikające pozostaje umiarkowane, m.in. nie odnotowano podatności typu zer-day. Zupełnie inaczej wygląda obraz bezpieczeństwa infrastruktury przedsiębiorstw. Między innymi Cisco w ostatnim czasie mierzyło się z aż trzema krytycznymi podatnościami o najwyższej ocenie ryzyka (CVSS).
Microsoft łata 173 podatności w Windows
Microsoft wydał lipcową paczkę comiesięcznych poprawek — aktualizację Patch Tuesday. Zaadresowano w niej łącznie 137 podatności, w tym 14 krytycznych. Tym razem żadna z nich nie była podatnością typu zero-day, ani też żadnej aktywnie nie wykorzystywano. Niemniej, kilka z wykrytych błędów w oprogramowaniu wciąż stanowi zagrożenie dla bezpieczeństwa systemów informatycznych, dlatego zalecana jest możliwie niezwłoczna aktualizacja.
Przegląd podatności
CVE-2025-49719 — 7.5 CVSS — nieprawidłowa walidacja danych wejściowych w programie SQL Server (wszystkie wersje od SQL Server 2016) umożliwia nieautoryzowanemu atakującemu ujawnienie informacji w sieci. Choć Microsoft ocenia ją jako mniej prawdopodobną do wykorzystania, dostępność kodu proof-of-concept sprawia, że powinna być priorytetem dla przedsiębiorstw [1].
CVE-2025-49695 i CVE-2025-49696 — każda 8.4 CVSS — krytyczne podatności pakietu Microsoft Office, pozwalające na zdalne wykonanie kodu (RCE). Mogą być wykorzystane nawet w oknie podglądu dokumentu, bez jego otwierania. Co więcej, Microsoft ocenia prawdopodobieństwo ich użycia w atakach jako wysokie.
CVE-2025-47981 — 9.8 CVSS — najpoważniejsza w tej aktualizacji, krytyczna podatność w rozszerzonym systemie negocjacji SPNEGO (NEGOEX). Umożliwia nieautoryzowanemu atakującemu na wykonanie kodu w sieci przez wykorzystanie błędu polegającego na przepełnieniu bufora sterty. Jest to możliwe np. przez wysłanie spreparowanego żądania do serwera. Dotyczy systemów Windows 10 w wersji 1607 i nowszych oraz wszystkich instalacji Windows Server [2].
CVE-2025-48001, CVE-2025-48003, CVE-2025-48800, CVE-2025-48804, i CVE-2025-48818 — każda 6.8 CVSS) — zestaw podatności w narzędziu Bitlocker. Umożliwiają one osobie z fizycznym dostępem do komputera na obejście zabezpieczeń i uzyskanie dostępu do zaszyfrowanych danych [3].
Zalecane działania
Zalecana jest niezwłoczna aktualizacja systemów Windows — w wersjach dedykowanych stacjom roboczym i serwerom — do najnowszej, dostępnej wersji.
Warto także podkreślić, że 8 lipca wyznacza koniec wsparcia dla Windows Server 2012 w programie rozszerzonego wsparcia poprawkami (ESU). Z kolei 14 października systemy Windows 10 przestaną otrzymywać darmowe aktualizacje bezpieczeństwa.
Fortinet: aktualizacje w odpowiedzi na trzy podatności
Firma Fortinet wydała aktualizacje dla produktów FortiOS, FortiProxy, FortiVoice i FortiWeb. Wykryte podatności dotyczą niewystarczającej walidacji danych, SQL injection, czy możliwości nieuprawnionego wykonania kodu.
Przegląd podatności
CVE-2025-47856 — 7.2 CVSS — podatność umożliwiająca nieuprawnione wykonanie kodu (w tym przypadku dowolnych poleceń) w FortiVoice. Potencjalny atak może być przeprowadzany przez wysyłanie odpowiednio spreparowanych zapytań HTTP lub z użyciem CLI [4].
CVE-2025-52965 — 6.8 CVSS — podatność w implementacji API dla systemów FortiOS oraz FortiProxy. Polega na niewystarczającej walidacji danych połączeniowych, co pozwala użytkownikowi na uzyskanie dostępu do API przy użyciu api-key oraz dowolnego certyfikatu PKI [5].
CVE-2025-25257 — 9.6 CVSS — krytyczna podatność klasy SQL injection w FortiWeb. Umożliwia ona nieautoryzowanemu atakującemu wykonanie kodu SQL poprzez wysyłanie odpowiednio spreparowanych zapytań HTTP lub HTTPS [6].
Zalecane działania
Zalecana jest niezwłoczna aktualizacja produktów, zgodnie z zaleceniami producenta, dla FortiVoice, FortiOS i FortiProxy oraz FortiWeb. W przypadku błędu SQL injection, możliwe jest także wyłączenie konsoli administracyjnej HTTP/HTTPS jako tymczasowe rozwiązanie problemu w FortiWeb.
Aktualizacje dla oprogramowania Adobe
Firma Adobe poinformowała o wydaniu aktualizacji bezpieczeństwa dla popularnych produktów, takich jak After Effects, InDesign, Illystrator, Audition, czy FrameMaker. Załatane zostały podatności wykorzystujące m.in. błędy pamięci, a które umożliwiały nieuprawnione wykonywanie kodu, podniesienie uprawnień, czy dostęp do plików systemowych. Chociaż nie ma informacji o wykorzystaniu którejkolwiek z tych podatności, to wiele z nich oceniono jako krytyczne. Dlatego zalecana jest możliwie niezwłoczna aktualizacja [7].
Podsumowanie krytycznych podatności w produktach Cisco
W ostatnim czasie firma Cisco poinformowała o wykryciu kilku krytycznych podatności o maksymalnej ocenie w skali CVSS w swoich produktach, które mogą stanowić poważne zagrożenie dla bezpieczeństwa systemów. W Unified Communications Manager (Unified CM) oraz Unified Communications Manager Session Management Edition (Unified CM SME) wykryto podatność CVE-2025-20309 (10.0 CVSS). Podatność ta wynika z obecności statycznych, niezmiennych poświadczeń użytkownika root, co umożliwia nieautoryzowanemu atakującemu na zalogowanie się do urządzenia i wykonanie dowolnych poleceń z uprawnieniami root [8].
Dodatkowo, w Identity Services Engine (ISE) oraz ISE Passive Identity Connector (ISE-PIC) odkryto dwie krytyczne podatności: CVE-2025-20281 oraz CVE-2025-20282 (obie 10.0 CVSS). Pierwsza z nich pozwala na zdalne wykonanie dowolnego kodu na systemie operacyjnym poprzez niewystarczającą walidację danych wejściowych, natomiast druga umożliwia przesyłanie i wykonywanie dowolnych plików na zaatakowanym urządzeniu [9].
Podatności oceniane na 10.0 CVSS są rzadkością, z kolei trzy z rzędu w mniej niż tydzień — są raczej niespotykane. Tak wyjątkowa sytuacja wymaga zdecydowanego działania, w szczególności przez niską złożoność potencjalnych ataków. Co więcej, przez brak dostępnych obejść, aktualizacje narażonych produktów są jedynym skutecznym sposobem zmniejszenia ryzyka.
Wnioski
Liczba załatanych luk w zabezpieczeniach jest duża, zwłaszcza w przypadku Windows czy Adobe, choć tym razem nie odnotowano podatności typu zero-day. Należy jednak podkreślić, że udział podatności krytycznych w ogólnej ich liczbie pozostaje na podobnym poziomie. Z tego względu aktualizacje oprogramowania warto instalować możliwie szybko po ich opublikowaniu.
Niezmiennie, wektorem ataków pozostają przeglądarki. W ostatnim czasie Chrome załatało krytyczną i aktywnie wykorzystywaną lukę w zabezpieczeniach silnika V8. Z kolei Firefox mierzył się z czterdziestoma złośliwymi dodatkami, które wykradały dane, głównie dotyczące portfeli kryptowalutowych.
Jak wskazywaliśmy w poprzednim wydaniu Biuletynu (nr 7), aktualizacje wciąż stanowią duży problem dla użytkowników. Złe nawyki, brak zaufania i niezrozumienie skali problemu wiązać się mogą z poważnymi konsekwencjami.
Opracowanie: Mateusz Rakowski
Threat Intelligence
Nr 8, lipiec 2025Niniejszy biuletyn jest przeglądem bieżących zagrożeń i technik stosowanych w cyberatakach, skierowanym do wszystkich użytkowników systemów IT. Zachęcamy do jego udostępniania, gdyż podnoszenie świadomości jest kluczowe dla zapewnienia bezpieczeństwa informacji.
Źródła:
[1] https://krebsonsecurity.com/2025/07/microsoft-patch-tuesday-july-2025-edition/
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981
[3] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-48804
[4] https://fortiguard.fortinet.com/psirt/FG-IR-25-250
[5] https://fortiguard.fortinet.com/psirt/FG-IR-24-511
[6] https://fortiguard.fortinet.com/psirt/FG-IR-25-151
[7] https://helpx.adobe.com/security/security-bulletin.html
[8] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssh-m4UBdpE7
[9] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6