12 lutego 2025

Nowe krytyczne podatności

Choć raporty zagrożeń CERT Orange Polska publikuje regularnie co tydzień, tym razem zdecydowaliśmy się na umieszczenie dodatkowego ostrzeżenia w połowie tygodnia. To dlatego, że pojawiły się nowe, groźne podatności.

W środę krajobraz zagrożeń wzbogaciły ostrzeżenia, dotyczące podatności w produktach firm SonicWall, Ivanti, Fortinet i Zimbra. Poniżej ich dokładniejsze opisy.

SonicWall Secure Mobile Access

Najpoważniejsza luka dotyczy produktów SonicWall Secure Mobile Access (SMA) serii 1000. CVE-2025-23006 (CVSS 9.8) było wykorzystywane jako luka zero-day w atakach na urządzenia Appliance Management Console (AMC) i Central Management Console (CMC) w wersjach 12.4.3-02804 i wcześniejszych.

SonicWall wydał aktualizację zabezpieczającą, która naprawia tę podatność. Firma stanowczo zaleca użytkownikom natychmiastową aktualizację do wersji 12.4.3-02854

Podatność wynika z deserializacji niezaufanych danych przed uwierzytelnieniem w konsolach AMC i CMC. W praktyce oznacza to, że atakujący może ominąć mechanizmy uwierzytelniania, wysyłając specjalnie spreparowany pakiet, który system błędnie uznaje za zaufany i wykonuje zawarte w nim polecenia. Skuteczne wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do sieci, a w konsekwencji do kradzieży danych, wymuszeń lub ataków typu ransomware.

Więcej:
https://www.cybereason.com/blog/cve-2025-23006-sonicwall-critical-vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002

Zimbra Collaboration

10 lutego br. Zimbra wypuściła aktualizacji zabezpieczeń dla oprogramowania Zimbra Collaboration. Aktualizacje te mają na celu załatanie krytycznych podatności:

  • CVE-2025-25064 (CVSS 9.8) w endpoincie ZimbraSync Service SOAP. Luka wynika z braku odpowiedniej walidacji danych wejściowych od użytkownika. Pozwala to uwierzytelnionym atakującym na wstrzykiwanie dowolnych zapytań SQL, skutkujących uzyskaniem dostępu do metadanych przetwarzanych wiadomości mailowych poprzez manipulację określonym parametrem w żądaniu.
  • CVE-2025-25065 (CVSS 5.3) w komponencie parsera kanałów RSS. Podatność pozwala na nieautoryzowane przekierowanie żądań do wewnętrznych punktów końcowych sieci, co może być wykorzystane do skanowania wewnętrznych zasobów lub innych złośliwych działań.
  • Nieoznaczona podatność XSS. Podatność w klasycznym kliencie webowym Zimbra, która nie została jeszcze oznaczona identyfikatorem CVE. Pozwala na przechowywanie złośliwego kodu JScript w aplikacji, który może być wykonany w przeglądarce innego użytkownika, prowadząc do kradzieży sesji lub innych nieautoryzowanych działań.

Zalecamy niezwłoczną aktualizację oprogramowania Zimbra do jednej ze spatchowanych wersji:
9.0.0 Patch 44
10.0.13
10.1.5

Więcej: https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

Podatności w Ivanti

Luki w Ivanti dotyczyły Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) oraz Cloud Services Application (CSA).

Podatność CVE-2025-22467 o wskaźniku CVSS 9.9 pozwala atakującym na wykonanie spreparowanego żądania, które doprowadzi do przepełnienia bufora na stosie w Ivanti Connect Secure. Udane przepełnienie bufora umożliwia zdalnemu uwierzytelnionemu atakującemu zdalne wykonanie kodu.

Ivanti zaleca niezwłoczne zaktualizowanie następujących produktów do podanych wersji lub nowszych:
Ivanti Connect Secure: wersja 22.7R2.6
Ivanti Policy Secure: wersja 22.7R1.3
Ivanti CSA: wersja 5.0.5
 
Firma poinformowała, że nie ma dowodów na aktywne wykorzystywanie tych podatności w środowisku produkcyjnym. Jednak biorąc pod uwagę wcześniejsze przypadki wykorzystywania urządzeń Ivanti przez złośliwych aktorów, zaleca się jak najszybsze zastosowanie dostępnych poprawek. Tym bardziej że japoński CERT (JPCERT/CC) w środę 12 lutego opublikował raport wskazujący na wykorzystanie wcześniejszej podatności (CVE-2025-0282) w Ivanti Connect Secure do dystrybucji zaktualizowanej wersji frameworka malware o nazwie SpawnChimera.

Więcej: https://www.ivanti.com/blog/february-security-update

Fortinet FortiOS

Fortinet opublikował ostrzeżenie o podatności CVE-2025-24472 (CVSS 8.1) umożliwiającej atakującym uzyskanie uprawnień superadministratora poprzez wysyłanie specjalnie spreparowanych żądań CSF proxy.
Podatność obejmuje FortiOS w wersjach 7.0.0 do 7.0.16 i FortiProxy od 7.0.0 do 7.0.19 oraz 7.2.0 do 7.2.12.

Fortinet poinformował, że użytkownicy, którzy wcześniej zaktualizowali swoje systemy zgodnie z wypuszczonymi w styczniu zaleceniami dotyczącymi CVE-2024-55591, że są już chronieni przed CVE-2025-24472.

Więcej: https://www.bleepingcomputer.com/news/security/fortinet-discloses-second-firewall-auth-bypass-patched-in-january/

Microsoft Patch Tuesday

W ramach comiesięcznej edycji Patch Tuesday Microsoft wypuścił poprawki dla 63 podatności w swoich produktach, wśród których poinformował o dwóch, które aktywnie były wykorzystywane w atakach cyberprzestępców.
 
Podatność CVE-2025-21391 (CVSS 7.1) w komponencie Windows Storage była wykorzystywana do usunięcia wybranych plików w systemie, co może prowadzić do niedostępności usług.  Z kolei luka podniesienia uprawnień w sterowniku afd.sys CVE-2025-21418 (CVSS 7.8) pozwalała na eskalacje uprawnień i wykonywanie operacji z uprawnieniami SYSTEM. Podatność w sterowniku Windows Ancillary Function Driver for WinSock nosi podobieństwa do identyfikowanej wcześniej luki CVE-2024-38193, aktywnie wykorzystywanej w atakach przez północnokoreańską grupę APT Lazarus.
 
Poprawki bezpieczeństwa od wtorku są już dostępne do instalowania na podatnych systemach.

Więcej: https://msrc.microsoft.com/update-guide/releaseNote/2025-Feb

Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance