Profesjonaliści ds. bezpieczeństwa i administratorzy systemów są w stanie podwyższonej gotowości, ponieważ Microsoft, Fortinet i Ivanti wydały krytyczne komunikaty dotyczące bezpieczeństwa w związku z lukami typu zero-day, które są aktywnie wykorzystywane i wpływają na ich produkty. Luki te stanowią znaczne ryzyko dla organizacji, potencjalnie prowadząc do nieautoryzowanego dostępu, naruszeń danych i kompromitacji systemu. Zdecydowanie zaleca się natychmiastowe łatanie i wdrażanie zalecanych obejść w celu złagodzenia potencjalnych zagrożeń.
Poprawki Microsoft adresują luki, które są aktywnie wykorzystywane i publicznie ujawnione
Niedawna aktualizacja Microsoft z wtorku, obejmowała poprawki dla niepokojącej liczby luk, w tym pięciu, które są już aktywnie wykorzystywane w środowisku rzeczywistym, wraz z dwiema publicznie ujawnionymi lukami zero-day. Aktywnie wykorzystywane wady stanowią poważne zagrożenie, ponieważ złośliwi aktorzy wykorzystują je do kompromitowania systemów.
Szczegóły aktywnie wykorzystywanych luk
Zidentyfikowano następujące luki, które są aktywnie wykorzystywane:
- Microsoft DWM Core Library (CVE-2025-30400): Ta luka w Desktop Window Manager (DWM) Core Library może umożliwić atakującemu podniesienie swoich uprawnień do poziomu SYSTEMU. Oznacza to, że atakujący może uzyskać pełną kontrolę nad dotkniętym systemem.
- Windows Common Log File System (CVE-2025-32701 i CVE-2025-32706): Dwie oddzielne luki w systemie Windows Common Log File System (CLFS) również mogą umożliwić atakującemu osiągnięcie uprawnień na poziomie SYSTEMU. CLFS to usługa rejestrowania ogólnego przeznaczenia używana przez różne komponenty systemu Windows.
- Windows Ancillary Function Driver (CVE-2025-32709): Luka w sterowniku funkcji pomocniczych systemu Windows może podobnie prowadzić do podniesienia uprawnień do poziomu SYSTEMU.
- Microsoft Scripting Engine (CVE-2025-30397): W Microsoft Scripting Engine istnieje luka w uszkodzeniu pamięci, która może umożliwić atakującemu uruchomienie dowolnego kodu. Może to umożliwić atakującemu uruchomienie złośliwego oprogramowania na dotkniętym systemie.
Publicznie ujawnione luki
Oprócz aktywnie wykorzystywanych luk, Microsoft zaadresował również dwie publicznie ujawnione luki zero-day:
- Microsoft Defender (CVE-2025-26685): W Microsoft Defender istnieje luka w podszywaniu się pod tożsamość, która może umożliwić atakującemu podszywanie się pod inne konto w sąsiedniej sieci.
- Visual Studio (CVE-2025-32702): Luka w zdalnym wykonaniu kodu w Visual Studio może umożliwić nieuwierzytelnionemu atakującemu wykonanie kodu lokalnie.
Krytyczne luki wymagające priorytetyzacji
Oprócz aktywnie wykorzystywanych i publicznie ujawnionych wad, Microsoft wydał również poprawki dla sześciu krytycznych luk, które, choć obecnie nie są znane jako wykorzystywane, powinny być traktowane priorytetowo podczas łatania. Luki te wpływają na różne produkty Microsoft, w tym:
- Microsoft Office (CVE-2025-30377 i CVE-2025-30386): Zidentyfikowano dwie krytyczne luki w Microsoft Office, potencjalnie umożliwiające zdalne wykonanie kodu.
- Microsoft Power Apps (CVE-2025-47733): W Microsoft Power Apps odkryto krytyczną lukę, która może prowadzić do nieautoryzowanego dostępu lub wykonania kodu.
- Remote Desktop Gateway Service (CVE-2025-29967): W Remote Desktop Gateway Service istnieje krytyczna luka, która może umożliwić atakującemu przejęcie systemu.
- Windows Remote Desktop (CVE-2025-29966): W Windows Remote Desktop wykryto krytyczną lukę, potencjalnie prowadzącą do zdalnego wykonania kodu.
Fortinet adresuje krytyczną lukę w wielu produktach
Fortinet wydał komunikat dotyczący bezpieczeństwa w związku z krytyczną luką wpływającą na kilka jego produktów, w tym FortiVoice, FortiMail, FortiNDR, FortiRecorder i FortiCamera.
Ta luka, przepełnienie bufora oparte na stosie, otrzymała wynik ważności CVSS v4 wynoszący 9,6 (CVSS v3.1: 9,8), co wskazuje na jej wysoką ważność. Luka może być wykorzystywana zdalnie przez nieuwierzytelnionego atakującego, wysyłając żądania HTTP zawierające specjalnie spreparowane ciasteczko hash. Pomyślne wykorzystanie może prowadzić do dowolnego wykonania kodu, umożliwiając atakującemu przejęcie pełnej kontroli nad dotkniętym urządzeniem.
Wykorzystanie zaobserwowane w FortiVoice
Fortinet potwierdził, że zaobserwował aktywne wykorzystywanie tej luki w urządzeniach FortiVoice. Atakujący skanowali sieci urządzeń, usuwali dzienniki awarii systemu i włączali debugowanie fcgi w celu przechwytywania poświadczeń wprowadzonych podczas logowania do systemu lub SSH.
Dotknięte produkty i wersje
Luka, śledzona jako CVE-2025-32756, dotyczy następujących wersji produktów. Zdecydowanie zaleca się natychmiastowe uaktualnienie do określonych stałych wersji:
- FortiVoice:
- 7.2.0: Uaktualnij do 7.2.1 lub nowszego
- 7.0.0 do 7.0.6: Uaktualnij do 7.0.7 lub nowszego
- 6.4.0 do 6.4.10: Uaktualnij do 6.4.11 lub nowszego
- FortiRecorder:
- 7.2.0 do 7.2.3: Uaktualnij do 7.2.4 lub nowszego
- 7.0.0 do 7.0.5: Uaktualnij do 7.0.6 lub nowszego
- 6.4.0 do 6.4.5: Uaktualnij do 6.4.6 lub nowszego
- FortiMail:
- 7.6.0 do 7.6.2: Uaktualnij do 7.6.3 lub nowszego
- 7.4.0 do 7.4.4: Uaktualnij do 7.4.5 lub nowszego
- 7.2.0 do 7.2.7: Uaktualnij do 7.2.8 lub nowszego
- 7.0.0 do 7.0.8: Uaktualnij do 7.0.9 lub nowszego
- FortiNDR:
- 7.6.0: Uaktualnij do 7.6.1 lub nowszego
- 7.4.0 do 7.4.7: Uaktualnij do 7.4.8 lub nowszego
- 7.2.0 do 7.2.4: Uaktualnij do 7.2.5 lub nowszego
- 7.1: Zmigruj do stałej wersji
- 7.0.0 do 7.0.6: Uaktualnij do 7.0.7 lub nowszego
- 1.1 do 1.5: Zmigruj do stałej wersji
- FortiCamera:
- 2.1.0 do 2.1.3: Uaktualnij do 2.1.4 lub nowszego
- 2.0: Zmigruj do stałej wersji
- 1.1: Zmigruj do stałej wersji
Wskaźniki kompromitacji i kroki łagodzące
Fortinet dostarczył w swoim alercie bezpieczeństwa wskaźniki kompromitacji (IOC), aby pomóc organizacjom w wykrywaniu potencjalnych prób wykorzystania. Jeśli natychmiastowe łatanie nie jest możliwe, Fortinet zaleca tymczasowe wyłączenie interfejsu administracyjnego HTTP/HTTPS jako środek łagodzący.
Ivanti adresuje luki w zdalnym wykonaniu kodu w Endpoint Manager Mobile
Ivanti wydało komunikat dotyczący bezpieczeństwa, w którym odnosi się do dwóch luk wpływających na jego rozwiązanie Endpoint Manager Mobile (EPMM). Luki te, po połączeniu ze sobą, mogą prowadzić do nieuwierzytelnionego zdalnego wykonania kodu. Ivanti stwierdziło, że luki są powiązane z kodem open-source używanym w EPMM, a nie z podstawowym kodem Ivanti.
Szczegóły luki
- CVE-2025-4427 (Średni poziom ważności): Jest to wada obejścia uwierzytelniania z wynikiem ważności CVSS v3.1 wynoszącym 5,3. Atakujący może wykorzystać to do obejścia mechanizmów uwierzytelniania i uzyskania nieautoryzowanego dostępu do systemu.
- Luka w zdalnym wykonaniu kodu (Wysoki poziom ważności): Ta luka ma wynik ważności CVSS v3.1 wynoszący 7,2, co wskazuje na wysoki potencjalny wpływ. Wykorzystując tę wadę, atakujący może zdalnie wykonać dowolny kod na dotkniętym systemie.
Dotknięte produkty i wersje
Następujące wersje Ivanti Endpoint Mobile Manager są dotknięte przez te luki. Uaktualnij do najnowszych wersji tak szybko, jak to możliwe:
- Ivanti Endpoint Mobile Manager
- 11.12.0.4 i starsze: Uaktualnij do 11.12.0.5 i nowszych
- 12.3.0.1 i starsze: Uaktualnij do 12.3.0.2 i nowszych
- 12.4.0.1 i starsze: Uaktualnij do 12.4.0.2 i nowszych
- 12.5.0.0 i starsze: Uaktualnij do 12.5.0.1 i nowszych
Strategie łagodzenia
Ivanti zdecydowanie zaleca użytkownikom uaktualnienie do najnowszej wersji EPMM tak szybko, jak to możliwe. Ryzyko można jednak znacznie zmniejszyć, filtrując dostęp do API za pomocą wbudowanych list ACL portalu lub zewnętrznej zapory aplikacji sieci Web (WAF). Środki te mogą pomóc w zapobieganiu nieautoryzowanemu dostępowi i wykorzystywaniu luk.
Podsumowując, ostatnie komunikaty dotyczące bezpieczeństwa od Microsoft, Fortinet i Ivanti podkreślają nieustanną potrzebę czujności i proaktywnych środków bezpieczeństwa. Organizacje muszą priorytetowo traktować łatanie i wdrażanie zalecanych obejść, aby chronić się przed tymi aktywnie wykorzystywanymi lukami i potencjalnymi przyszłymi atakami. Regularne monitorowanie komunikatów dotyczących bezpieczeństwa i szybkie reagowanie na zidentyfikowane zagrożenia są istotnymi elementami solidnej postawy bezpieczeństwa. Potencjalne konsekwencje braku reakcji na te luki mogą być poważne, od naruszeń danych i strat finansowych po szkody w reputacji i zakłócenia działalności. Współpraca między dostawcami a społecznością bezpieczeństwa jest najważniejsza w identyfikowaniu i łagodzeniu tych zagrożeń, zapewniając bezpieczniejsze środowisko cyfrowe dla wszystkich.