Podsumowanie Eksploatacji Słabości Bezpieczeństwa w Technologii

W świecie bezpieczeństwa informacji rzadko kiedy sprawy toczą się prostą linią. W tym tygodniu wydaje się, że mamy do czynienia z serią nagłych zwrotów, z których część odbywa się w milczeniu, a inne są widoczne w przestrzeni publicznej. Szczegóły różnią się, ale punkty nacisku są dobrze znane.

W miarę jak technologie, usługi w chmurze, laboratoria badawcze i codzienne aplikacje ewoluują, granica między normalnym działaniem a ukrytym ryzykiem staje się coraz cieńsza. Narzędzia mające na celu ochronę, aktualizację czy poprawę systemów stają się również ścieżkami dostępu w przypadku awarii.

Tego tygodniowe podsumowanie zbiera wszystkie sygnały w jednym miejscu. Szybkie spojrzenie, rzeczywisty wpływ oraz wydarzenia, które zasługują na dokładniejsze przyjrzenie się, zanim staną się większym problemem w przyszłym tygodniu.

Wykorzystywanie Zero-Day w Dell RecoverPoint dla VM

W Dell RecoverPoint dla Wirtualnych Maszyn została wykorzystana poważna luka bezpieczeństwa, która od połowy 2024 roku jest eksploatowana przez podejrzaną grupę związaną z Chinami, określaną jako UNC6201. Działania te obejmują wykorzystanie CVE-2026-22769 (wskaźnik CVSS: 10.0), który dotyczy wbudowanych poświadczeń w wersjach wcześniejszych niż 6.0.3.1 HF1. Według Google, wspomniane poświadczenie odnosi się do użytkownika „admin” w instancji menedżera Apache Tomcat, co umożliwia uwierzytelnienie się w Dell RecoverPoint Tomcat Manager, przesyłanie złośliwego skryptu webowego o nazwie SLAYSTYLE przez punkt końcowy „/manager/text/deploy” oraz wykonywanie poleceń jako root na urządzeniu, aby zainstalować tylne wejście BRICKSTORM i jego nowszą wersję, znaną jako GRIMBOLT.

Nowe badania nad technikami ATT&CK

Nowe badania wskazują, że **80%** najwyżej ocenianych technik ATT&CK obecnie koncentruje się na unikanie wykrycia. Atakujący poruszają się szybko, dlatego przegląd i szybkiej aktualizacje systemów są kluczowe dla ich odporności.

Najważniejsze niedoskonałości do sprawdzenia

Oto najważniejsze luki, które warto sprawdzić w pierwszej kolejności:

• CVE-2026-22769 (Dell RecoverPoint dla Wirtualnych Maszyn)
• CVE-2026-25926 (Notepad++)
• CVE-2026-26119 (Microsoft Windows Admin Center)
• CVE-2026-2329 (Grandstream GXP1600)
• CVE-2025-65717 (Live Server)
• CVE-2026-1358 (Airleader Master)
• CVE-2026-25108 (FileZen)
• CVE-2026-25084
• CVE-2026-24789 (ZLAN)
• CVE-2026-2577 (Nanobot)
• CVE-2026-25903 (Apache NiFi)
• CVE-2026-26019 (@langchain/community)
• CVE-2026-1670 (Honeywell CCTV)
• CVE-2025-7740 (Hitachi Energy SuprOS)
• CVE-2025-61928 (better-auth)
• CVE-2026-20140 (Splunk Enterprise dla Windows)
• CVE-2026-27118 (@sveltejs/adapter-vercel)
• CVE-2026-27099
• CVE-2026-27100 (Jenkins)
• CVE-2026-24733 (Apache Tomcat)
• CVE-2026-2648
• CVE-2026-2649
• CVE-2026-2650 (Google Chrome)
• CVE-2025-29969 (Windows Fundamentals)
• CVE-2025-64127
• CVE-2025-64128
• CVE-2025-64129
• CVE-2025-64130 (Zenitel)
• CVE-2025-32355
• CVE-2025-59793 (TRUfusion Enterprise)
• CVE-2026-1357 (WPvivid Backup plugin)
• CVE-2025-9501 (W3 Total Cache plugin)
• CVE-2025-13818 (ESET Management Agent dla Windows)
• CVE-2025-11730 (ZYXEL ATP/USG series)
• CVE-2025-67303 (ComfyUI)
• Nieautoryzowany odczyt plików, usuwanie plików oraz podatności na SQL injection w frameworku Novarain/Tassos (brak CVEs)

Podsumowanie i ostrzeżenie

Podsumowując, w tym tygodniu dominującym tematem jest ciche ujawnienie zagrożeń. Ryzyko pojawia się w codziennych aktualizacjach, zaufanych narzędziach i funkcjach, które zespoły rzadko kwestionują, dopóki coś się nie zepsuje.

Prawdziwym problemem nie jest pojedyncza luka, ale sposób, w jaki mniejsze słabości są łączone i automatyzowane, co przewyższa możliwości reakcji obrońców. Starannie przeanalizuj pełną listę; jeden z tych krótkich aktualizacji może dotyczyć Twojego środowiska bardziej niż mogłoby się wydawać na pierwszy rzut oka.