Adobe AEM Forms (CVE-2025-54253) już wykorzystywana w atakach: co muszą zrobić zespoły bezpieczeństwa

Wprowadzenie do problemu / definicja luki

CISA ostrzegła, iż krytyczna podatność w Adobe Experience Manager (AEM) Forms na JEE, śledzona jako CVE-2025-54253, jest aktywnie wykorzystywana. To błąd konfiguracji prowadzący do zdalnego wykonania kodu (RCE), oceniony na CVSS 10.0. Adobe załatało problem w trybie out-of-band na początku sierpnia 2025 r., ale w obiegu znajdował się już publiczny PoC, co ułatwiło atakującym przygotowanie kampanii.

W skrócie

• Produkt / wersje: AEM Forms na JEE w wersjach 6.5.23.0 i starszych są podatne. Wydanie naprawcze: 6.5.0-0108. Wpływ: zdalne wykonanie kodu bez uwierzytelnienia.
• Status: CISA dodała lukę do KEV (Known Exploited Vulnerabilities) – potwierdzona eksploatacja „in the wild”. Federalne agencje USA muszą załatać systemy do 5 listopada 2025 r.
• Powiązana luka: CVE-2025-54254 (XXE, CVSS 8.6) również naprawiona w tym samym pakiecie, ale na razie nie jest na liście KEV.

Kontekst / historia / powiązania

Adobe opublikowało biuletyn APSB25-82 5 sierpnia 2025 r., rekomendując pilną aktualizację do AEM Forms na JEE 6.5.0-0108. W notatce zaznaczono, iż dla CVE-2025-54253 i CVE-2025-54254 istniał publiczny PoC. 16 października 2025 r. niezależne serwisy (SecurityWeek, HNS) wskazały, iż CISA dodała CVE-2025-54253 do KEV, co oznacza obserwowaną eksploatację w realnych atakach.

Analiza techniczna / szczegóły luki

Istota problemu to błędna konfiguracja pozostawiająca w interfejsie administracyjnym AEM Forms włączony Apache Struts „devMode” oraz łańcuch z ominięciem uwierzytelnienia, co razem umożliwia atakującemu wykonanie wyrażeń OGNL i eskalację do RCE – i to bez interakcji użytkownika. Wektor jest prosty (niska złożoność), a atak może był kierowany na endpoint związany z debugowaniem (np. /adminui/debug).

W biuletynie Adobe potwierdzono:

• CVE-2025-54253 – „Incorrect Authorization”, RCE, CVSS 10.0
• CVE-2025-54254 – XXE, odczyt plików, CVSS 8.6
  Patch docelowy: AEM Forms na JEE 6.5.0-0108; wersje dotknięte: 6.5.23.0 i starsze.

Dodatkowa dokumentacja Adobe dla administratorów precyzuje, które warianty nie są podatne (Forms na OSGi, Workbench, Cloud Service) i opisuje ścieżki aktualizacji/hotfixów dla Service Packów 18–23 oraz starszych.

Praktyczne konsekwencje / ryzyko

• Pre-auth RCE na serwerze aplikacyjnym, często z uprawnieniami usługi AEM Forms (np. JBoss/WebLogic/WebSphere), daje napastnikowi trwały foot-hold.
• Niska złożoność i brak interakcji użytkownika zwiększają prawdopodobieństwo automatycznych skanów i masowej eksploatacji.
• Publiczny PoC plus wpis w KEV → realne ryzyko ransomware, web-shelli i pivotu do sieci wewnętrznej.

Rekomendacje operacyjne / co zrobić teraz

1. Aktualizuj natychmiast: do AEM Forms na JEE 6.5.0-0108 (APSB25-82). o ile używasz SP 18–22, zastosuj odpowiednie hotfixy zgodnie z instrukcją Adobe; dla 6.5.23.0 dostępny jest hotfix zbiorczy.
2. Zweryfikuj ekspozycję: AEM Forms na JEE nie powinien być dostępny z Internetu (zwłaszcza /adminui/*). Ogranicz dostęp do panelu admina do zaufanych sieci/VPN i wymuś MFA.
3. Tymczasowe środki twardnienia (jeśli patchowanie wymaga okna):
   • Zablokuj na WAF/proxy /adminui/debug i inne endpointy admin UI; odfiltruj wzorce OGNL.
   • Upewnij się, iż Struts devMode jest wyłączony w środowiskach produkcyjnych.
4. Higiena uprawnień i segmentacja: uruchamiaj AEM Forms z minimalnymi uprawnieniami i odseparuj serwer w strefie DMZ z ograniczonym egress. (Wniosek operacyjny na bazie wektora RCE).
5. Detekcja i reagowanie:
   • Sprawdź logi aplikacyjne i reverse proxy pod kątem żądań do /adminui/debug oraz ładunków OGNL.
   • Szukaj nietypowych procesów dziecka (np. cmd, powershell, /bin/sh) uruchamianych przez proces aplikacyjny AEM/JEE.
   • Wdroż reguły EDR/NDR/WAF na znane ciągi OGNL oraz nienaturalne nagłówki/parametry. (Wniosek techniczny na podstawie opisu wektora).
6. Walidacja naprawy: po aktualizacji zweryfikuj wersję i komponenty zgodnie z poradnikiem Adobe (Service Pack + wymienione EAR/WAR/JAR).
7. Termin krytyczny (USA): o ile podlegasz BOD 22-01, termin remediacji to 5 listopada 2025 r.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• CVE-2025-54253 (CVSS 10.0) – błąd konfiguracji (Struts devMode + auth bypass), RCE bez uwierzytelnienia; KEV → potwierdzona eksploatacja.
• CVE-2025-54254 (CVSS 8.6) – XXE w usługach webowych AEM Forms (odczyt plików), naprawiona w tym samym wydaniu, w tej chwili brak potwierdzenia eksploatacji w KEV.
• CVE-2025-49533 – dodatkowe RCE w GetDocumentServlet, również ujęte w dokumentacji łagodzenia Adobe dla AEM Forms 6.5. (Warto uwzględnić w pełnym cyklu patchowania).

Podsumowanie / najważniejsze wnioski

• To jest incydent „patch-now”: publiczny PoC + wpis w KEV + niska złożoność ataku.
• Aktualizacja do 6.5.0-0108 i twardnienie dostępu do admin UI to minimum operacyjne.
• Zespoły powinny przeprowadzić threat hunting po wzorcach OGNL i śladach RCE oraz zablokować ekspozycję AEM Forms na Internet.

Źródła / bibliografia

• SecurityWeek: ostrzeżenie o wykorzystywaniu CVE-2025-54253 i kontekst KEV/BOD. (SecurityWeek)
• Adobe APSB25-82: wersje podatne, wersja naprawcza 6.5.0-0108, oceny CVSS. (Adobe Help Center)
• Adobe Experience League: przewodnik łagodzenia, zakres dotkniętych/wyłączonych wariantów, kroki hotfix. (Experience League)
• Help Net Security: szczegóły techniczne (Struts devMode, OGNL, /adminui/debug), status KEV i terminy. (Help Net Security)
• The Hacker News: podsumowanie wpływu, wersje, termin remediacji dla agencji federalnych. (The Hacker News)