[45/2025] Poważne podatności w urządzeniach F5
Opublikowano informację o poważnych podatnościach dotyczących urządzeń i oprogramowania F5 (m.in. BIG-IP, F5OS, BIG-IQ oraz moduły powiązane).
Powodem nagłej publikacji kilkudziesięciu podatności jest incydent ujawniony przez producenta i skomentowany przez CISA, dotyczący kradzieży części kodu źródłowego oraz informacji o nieujawnionych wcześniej lukach bezpieczeństwa.
Podatności występują m. in. w produktach:
BIG-IP,
F5OS-A / F5OS-C,
BIG-IQ i BIG-IP Next.
Dokładne wersje i zakres podatności zostały opisane w publikacjach F5 załączonych poniżej.
Przykładowe podatności opisane przez producenta:
CVE-2025-53868 (CVSS 8.5) - ominięcie ograniczeń trybu „Appliance”.
CVE-2025-61955 (CVSS 8.5) - możliwa eskalacja uprawnień w F5OS.
CVE-2025-60016 (CVSS 8.7) - błąd w obsłudze profili SSL/TLS.
Zalecane działania:
Zweryfikuj, czy organizacja korzysta z urządzeń F5 - jeżeli tak, sprawdź modele urządzeń oraz wersje wykorzystywanego oprogramowania. Zweryfikuj, czy panele są dostępne z Internetu.
Odłącz zewnętrzny dostęp do interfejsów zarządzania.
Zastosuj dostępne poprawki i aktualizacje od producenta dla podatnych wersji.
Więcej informacji na temat zaistniałego incydentu, opublikowanych podatności oraz zaleceń technicznych można znaleźć na stronach:
Powiadomienie wygasło: 15 grudnia 2025 11:36
[44/2025] Nowa dawka informacji o cyberzagrożeniach!
💡 Aby ułatwić wszystkim dostęp do rzetelnych informacji, rozpoczynamy publikację comiesięcznych raportów o stanie cyberbezpieczeństwa w Polsce.
W każdym wydaniu znajdziesz:
najnowsze statystyki incydentów,
opisy aktualnych kampanii i technik ataków,
działania zespołu na rzecz edukacji i współpracy,
rekomendacje, jak chronić siebie i swoje systemy.
📌 Raport za wrzesień 2025 jest już dostępny – https://cert.pl/posts/2025/10/raport-miesieczny-09/
Powiadomienie wygasło: 14 grudnia 2025 14:19
[43/2025] ✉️ Kampania dystrybucji szkodliwego oprogramowania podszywająca się pod usługę Pocztex
📦 Wiadomość zawiera informację o nowej paczce wysłanej przez klienta, rzekomo za pośrednictwem usługi Pocztex.
📷 Zdjęcie załączone do wiadomości, które ma imitować etykietę przesyłki, zawiera w sobie odnośnik do strony pobierającej szkodliwe oprogramowanie.
⚠️ Wszelkie podejrzane wiadomości możesz zgłosić do naszego zespołu za pomocą formularza na stronie http://incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
Powiadomienie wygasło: 5 grudnia 2025 13:27
[42/2025] ✉️ Kampania wykorzystująca wizerunek portalu gov.pl
W nowej kampanii obserwowanej przez CSIRT NASK przestępcy wykorzystują wizerunek portalu gov.pl.
W wiadomości imitującej typowe zabezpieczenie przed nieautoryzowanym dostępem informują, że na konto w portalu dokonano nowego logowania z nieznanego urządzenia.
Sugestia, że wykonano je w celu podpisania jakichś dokumentów ma na celu wywołanie w ofierze niepokoju i skłonienie do działania.
W wiadomości znajduje się numer telefonu do rzekomej "pomocy technicznej". Wejście w kontakt z przestępcami skutkuje próbą zmanipulowania ofiary do niekorzystnego rozporządzenia mienia.
Pamiętaj, żeby w takich przypadkach zawsze weryfikować domenę nadawcy wiadomości, czyli część adresu email po znaku "@".
Załączone obrazy
Powiadomienie wygasło: 4 grudnia 2025 16:54
[41/2025] ‼️ Obserwujemy kolejny rzut kampanii podszyć pod Narodowy Fundusz Zdrowia!
🔗 Wiadomości mailowe rozsyłane przez oszustów zawierają link, który prowadzi do strony wyłudzającej dane osobowe i karty płatniczej.
🌐 Pamiętaj, zawsze sprawdzaj adres nadawcy wiadomości, jak również adres strony internetowej, na której planujesz podać swoje dane.
⚠️ Wszelkie podejrzane wiadomości możesz zgłosić do naszego zespołu za pomocą formularza na stronie incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
Powiadomienie wygasło: 30 listopada 2025 17:56
[40/2025] 🚨 Dwie kampanie dystrybucji złośliwego oprogramowania!
⚠️ Cyberprzestępcy nie próżnują i przygotowali nie jedną, ale dwie kampanie dystrybucji złośliwego oprogramowania!
📎 W krótkich wiadomościach mailowych znajduje się załącznik i kilka słów wstępu. Tytuły sugerują interakcję z załącznikiem, m.in. "Skanowanie" czy "Dokumenty do podpisu". Tym razem nie ma podszycia pod znaną instytucję, oszuści liczą tylko na ciekawość odbiorcy.
📦 Zwracaj uwagę na rozszerzenia plików, które otrzymujesz od nieznanych nadawców - formaty takie jak .tar, .exe, .js czy .7z mogą sugerować, że zawartość załącznika jest inna niż obiecuje treść maila.
👉 Podejrzane wiadomości zgłaszaj za pomocą formularza na incydent.cert.pl
Załączone obrazy
Powiadomienie wygasło: 30 listopada 2025 17:43
[39/2025] Rekomendacja w sprawie zaprzestania korzystania z oprogramowania PAD CMS
Pełnomocnik Rządu ds. Cyberbezpieczeństwa Krzysztof Gawkowski zalecił podmiotom krajowego systemu cyberbezpieczeństwa natychmiastowe wyłączenie z użytku oprogramowania PAD CMS.
Rekomendacja została opracowana w oparciu o zidentyfikowane podatności w oprogramowaniu PAD CMS (https://cert.pl/posts/2025/09/CVE-2025-7063/) oraz brak bieżącego wsparcia technicznego producenta oprogramowania, co stwarza realne ryzyko incydentu krytycznego i stanowi zagrożenie dla bezpieczeństwa państwa.
Pełna treść rekomendacji znajduje się pod adresem: https://www.gov.pl/web/cyfryzacja/rekomendacja-pelnomocnika-rzadu-ds-cyberbezpieczenstwa-zaprzestanie-korzystania-z-oprogramowania-pad-cms
Powiadomienie wygasło: 30 listopada 2025 13:50
[36/2025] Aktywnie wykorzystywane krytyczne podatności w urządzeniach Cisco ASA i Cisco Firepower
Trwa kampania, w której atakujący wykorzystują podatności w celu przejęcia kontroli nad podatnymi urządzeniami Cisco ASA serii 5500-X.
Firma Cisco opublikowała informację o trzech podatnościach:
CVE-2025-20362 - umożliwa dostęp do zasobów o ograniczonym dostępie bez uwierzytelnienia.
CVE-2025-20333 - umożliwia uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu jako root.
CVE-2025-20363 - umożliwia uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu jako root.
Trwa kampania, w której atakujący wykorzystują CVE-2025-20362 oraz CVE-2025-20333 w celu przejęcia kontroli nad podatnymi urządzeniami Cisco ASA serii 5500-X.
Połączenie tych dwóch luk umożliwia adwersarzowi zdalne wykonanie dowolnego kodu z uprawnieniami administratora bez uwierzytelnienia.
Więcej informacji na temat zagrożenia i metod przeciwdziałania można znaleźć na stronie producenta: https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
Rekomendujemy bezzwłoczne wdrożenie poprawek zalecanych przez producenta.
Instrukcja weryfikacji czy urządzenie zostało zaatakowane znajduje się pod adresem: https://www.cisa.gov/news-events/directives/supplemental-direction-ed-25-03-core-dump-and-hunt-instructions
W przypadku wykrycia śladów ataku prosimy o zgłoszenie incydentu do właściwego CSIRT-u szczebla krajowego.
Więcej informacji odnośnie poszczególnych podatności można znaleźć na stronie producenta:
Powiadomienie wygasło: 25 listopada 2025 08:35
[35/2025] ‼️ Planujesz wyjście na koncert? Bądź ostrożny!
🎼 Oszuści zamieszczają w serwisach Facebook oraz Instagram reklamy informujące o możliwości zakupu biletów np. na koncert zespołu Metallica czy Dawida Podsiadło.
🌐 Fałszywe reklamy odsyłają na strony imitujące serwisy eBilet, mticket czy TicketShop. Spreparowane witryny teoretycznie oferują kilka opcji płatności, jednak aktywna jest wyłącznie płatność przez BLIK.
💸 Gdy transakcja zostanie potwierdzona, pieniądze trafią do oszustów, a otrzymany bilet okaże się fikcyjny.
🔗 Pamiętajcie, strony phishingowe możecie zgłaszać do nas poprzez formularz na stronie https://incydent.cert.pl lub w aplikacji mObywatel, w usłudze "Bezpiecznie w sieci".
Załączone obrazy
Powiadomienie wygasło: 23 listopada 2025 16:00
[34/2025] Poważna podatność narzędzia FortiWeb
Opublikowano informacje na temat poważnej podatności odkrytej w narzędziu FortiWeb.
Występuje ona w wersjach oprogramowania:
FortiWeb 7.6 - od 7.6.0 do 7.6.3 włącznie,
FortiWeb 7.4 - od 7.4.0 do 7.4.7 włącznie,
FortiWeb 7.2 - od 7.2.0 do 7.2.10 włącznie,
FortiWeb 7.0 - od 7.0.0 do 7.0.10 włącznie.
Według zapewnień producenta FortiWeb 8.0 nie jest podatne.
Podatność została oznaczona jako CVE-2025-52970 (CVSS 7.7). Umożliwia ona zalogowanie się na dowolne konto znajdujące się w systemie, wykorzystując specjalnie spreparowany pakiet. Tym samym atakujący może uzyskać dostęp do niepublicznych informacji.
Producent sugeruje aby przeprowadzić aktualizację produktu do wersji wyższych, niż te wskazane jako podatne.
WIęcej informacji na temat podatności można znaleźć na poniższych stronach:
Powiadomienie wygasło: 21 listopada 2025 20:04