Nowe krytyczne podatności

Choć raporty zagrożeń CERT Orange Polska publikuje regularnie co tydzień, tym razem zdecydowaliśmy się na umieszczenie dodatkowego ostrzeżenia w połowie tygodnia. To dlatego, że pojawiły się nowe, groźne podatności.

W środę krajobraz zagrożeń wzbogaciły ostrzeżenia, dotyczące podatności w produktach firm SonicWall, Ivanti, Fortinet i Zimbra. Poniżej ich dokładniejsze opisy.

SonicWall Secure Mobile Access

Najpoważniejsza luka dotyczy produktów SonicWall Secure Mobile Access (SMA) serii 1000. CVE-2025-23006 (CVSS 9.8) było wykorzystywane jako luka zero-day w atakach na urządzenia Appliance Management Console (AMC) i Central Management Console (CMC) w wersjach 12.4.3-02804 i wcześniejszych.

SonicWall wydał aktualizację zabezpieczającą, która naprawia tę podatność. Firma stanowczo zaleca użytkownikom natychmiastową aktualizację do wersji 12.4.3-02854

Podatność wynika z deserializacji niezaufanych danych przed uwierzytelnieniem w konsolach AMC i CMC. W praktyce oznacza to, że atakujący może ominąć mechanizmy uwierzytelniania, wysyłając specjalnie spreparowany pakiet, który system błędnie uznaje za zaufany i wykonuje zawarte w nim polecenia. Skuteczne wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do sieci, a w konsekwencji do kradzieży danych, wymuszeń lub ataków typu ransomware.

Więcej:
https://www.cybereason.com/blog/cve-2025-23006-sonicwall-critical-vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002

Zimbra Collaboration

10 lutego br. Zimbra wypuściła aktualizacji zabezpieczeń dla oprogramowania Zimbra Collaboration. Aktualizacje te mają na celu załatanie krytycznych podatności:

• CVE-2025-25064 (CVSS 9.8) w endpoincie ZimbraSync Service SOAP. Luka wynika z braku odpowiedniej walidacji danych wejściowych od użytkownika. Pozwala to uwierzytelnionym atakującym na wstrzykiwanie dowolnych zapytań SQL, skutkujących uzyskaniem dostępu do metadanych przetwarzanych wiadomości mailowych poprzez manipulację określonym parametrem w żądaniu.
• CVE-2025-25065 (CVSS 5.3) w komponencie parsera kanałów RSS. Podatność pozwala na nieautoryzowane przekierowanie żądań do wewnętrznych punktów końcowych sieci, co może być wykorzystane do skanowania wewnętrznych zasobów lub innych złośliwych działań.
• Nieoznaczona podatność XSS. Podatność w klasycznym kliencie webowym Zimbra, która nie została jeszcze oznaczona identyfikatorem CVE. Pozwala na przechowywanie złośliwego kodu JScript w aplikacji, który może być wykonany w przeglądarce innego użytkownika, prowadząc do kradzieży sesji lub innych nieautoryzowanych działań.

Zalecamy niezwłoczną aktualizację oprogramowania Zimbra do jednej ze spatchowanych wersji:
9.0.0 Patch 44
10.0.13
10.1.5

Więcej: https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

Podatności w Ivanti

Luki w Ivanti dotyczyły Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) oraz Cloud Services Application (CSA).

Podatność CVE-2025-22467 o wskaźniku CVSS 9.9 pozwala atakującym na wykonanie spreparowanego żądania, które doprowadzi do przepełnienia bufora na stosie w Ivanti Connect Secure. Udane przepełnienie bufora umożliwia zdalnemu uwierzytelnionemu atakującemu zdalne wykonanie kodu.

Ivanti zaleca niezwłoczne zaktualizowanie następujących produktów do podanych wersji lub nowszych:
Ivanti Connect Secure: wersja 22.7R2.6
Ivanti Policy Secure: wersja 22.7R1.3
Ivanti CSA: wersja 5.0.5
 
Firma poinformowała, że nie ma dowodów na aktywne wykorzystywanie tych podatności w środowisku produkcyjnym. Jednak biorąc pod uwagę wcześniejsze przypadki wykorzystywania urządzeń Ivanti przez złośliwych aktorów, zaleca się jak najszybsze zastosowanie dostępnych poprawek. Tym bardziej że japoński CERT (JPCERT/CC) w środę 12 lutego opublikował raport wskazujący na wykorzystanie wcześniejszej podatności (CVE-2025-0282) w Ivanti Connect Secure do dystrybucji zaktualizowanej wersji frameworka malware o nazwie SpawnChimera.

Więcej: https://www.ivanti.com/blog/february-security-update

Fortinet FortiOS

Fortinet opublikował ostrzeżenie o podatności CVE-2025-24472 (CVSS 8.1) umożliwiającej atakującym uzyskanie uprawnień superadministratora poprzez wysyłanie specjalnie spreparowanych żądań CSF proxy.
Podatność obejmuje FortiOS w wersjach 7.0.0 do 7.0.16 i FortiProxy od 7.0.0 do 7.0.19 oraz 7.2.0 do 7.2.12.

Fortinet poinformował, że użytkownicy, którzy wcześniej zaktualizowali swoje systemy zgodnie z wypuszczonymi w styczniu zaleceniami dotyczącymi CVE-2024-55591, że są już chronieni przed CVE-2025-24472.

Więcej: https://www.bleepingcomputer.com/news/security/fortinet-discloses-second-firewall-auth-bypass-patched-in-january/

Microsoft Patch Tuesday

W ramach comiesięcznej edycji Patch Tuesday Microsoft wypuścił poprawki dla 63 podatności w swoich produktach, wśród których poinformował o dwóch, które aktywnie były wykorzystywane w atakach cyberprzestępców.
 
Podatność CVE-2025-21391 (CVSS 7.1) w komponencie Windows Storage była wykorzystywana do usunięcia wybranych plików w systemie, co może prowadzić do niedostępności usług.  Z kolei luka podniesienia uprawnień w sterowniku afd.sys CVE-2025-21418 (CVSS 7.8) pozwalała na eskalacje uprawnień i wykonywanie operacji z uprawnieniami SYSTEM. Podatność w sterowniku Windows Ancillary Function Driver for WinSock nosi podobieństwa do identyfikowanej wcześniej luki CVE-2024-38193, aktywnie wykorzystywanej w atakach przez północnokoreańską grupę APT Lazarus.
 
Poprawki bezpieczeństwa od wtorku są już dostępne do instalowania na podatnych systemach.

Więcej: https://msrc.microsoft.com/update-guide/releaseNote/2025-Feb