CISA ostrzega przed wykorzystywanymi lukami w Apple, Kentico i Microsoft. Co to oznacza dla Twojej organizacji?

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) nowe pozycje: podatność w Windows SMB Client (CVE-2025-33073), dwie luki omijające uwierzytelnianie w Kentico Xperience CMS (CVE-2025-2746 i CVE-2025-2747) oraz starszą lukę w produktach Apple (CVE-2022-48503). Dodanie do KEV oznacza potwierdzoną eksploatację „in the wild” oraz obowiązek pilnego łatania w agencjach federalnych USA (standardowo w ciągu 3 tygodni).

W skrócie

• Microsoft Windows (SMB Client) – CVE-2025-33073 (CVSS 8.8): błąd kontroli dostępu umożliwiający eskalację uprawnień do SYSTEM po skłonieniu hosta do uwierzytelnienia do kontrolowanego przez atakującego serwera SMB. Luka załatana w czerwcu 2025 r.; istniały PoC. Teraz potwierdzono aktywne wykorzystanie.
• Kentico Xperience – CVE-2025-2746 i CVE-2025-2747 (CVSS 9.6): ominięcie uwierzytelniania w komponencie Staging/Sync Server; w typowych konfiguracjach może prowadzić do przejęcia obiektów administracyjnych i zdalnego wykonania kodu (RCE) w łańcuchu ataku. Poprawki dostępne w wersjach 13.0.173 i 13.0.178.
• Apple – CVE-2022-48503 (CVSS 8.8): błąd w JavaScriptCore skutkujący wykonaniem dowolnego kodu, naprawiony w 2022 r. (macOS, iOS/iPadOS, Safari, tvOS, watchOS). CISA wskazuje na aktywną eksploatację.

Kontekst / historia / powiązania

• SMB Client (MS): luka została załatana w ramach Patch Tuesday w czerwcu 2025 r., a Microsoft informował o dostępnych dowodach koncepcji (PoC). Dodanie do KEV 20 października 2025 r. sugeruje, iż PoC-y przerodziły się w realne ataki.
• Kentico: badacze watchTowr opisali łańcuchy prowadzące do pre-auth RCE przy włączonym Staging Sync Server z uwierzytelnianiem hasłem (powszechna konfiguracja). Kentico opublikowało poprawki w linii 13.0.x.
• Apple: luka z 2022 r. wraca na radar, co pokazuje długą „żywotność” błędów – część środowisk mogła pozostać na niezałatanych wydaniach.

Analiza techniczna / szczegóły luk

CVE-2025-33073 – Microsoft Windows SMB Client (EoP)

• Wektor: sieciowy; wymagane PR:L (autoryzowany napastnik) i brak interakcji użytkownika.
• Mechanika: niewłaściwa kontrola dostępu w kliencie SMB pozwala przestępcy wymusić połączenie ofiary z kontrolowanym serwerem SMB i uwierzytelnić się, co w konsekwencji umożliwia eskalację uprawnień do SYSTEM.

CVE-2025-2746 / CVE-2025-2747 – Kentico Xperience (auth bypass → RCE chain)

• Powierzchnia ataku: CMS.Synchronization.WSE3.SyncServer (SOAP/WS-Security).
• Warunki podatności: włączony Staging/Sync Server i uwierzytelnianie login/hasło (X.509 niepodatny).
• Istota błędów: błędy w obsłudze tokenów i haseł (m.in. zachowania związane z SHA-1/digest oraz sprawdzaniem użytkownika) pozwalają ominąć uwierzytelnianie i sterować obiektami administracyjnymi; po złączeniu z RCE po uwierzytelnieniu – pełne przejęcie instancji.
• Łatki: 13.0.173 (WT-2025-0006) i 13.0.178 (WT-2025-0011).

CVE-2022-48503 – Apple (JavaScriptCore RCE)

• Komponent: JavaScriptCore (silnik JS w WebKit).
• Wpływ: zdalne wykonanie dowolnego kodu po przetworzeniu złośliwej zawartości web.
• Zasięg: macOS Monterey 12.5, iOS/iPadOS 15.6, Safari 15.6, tvOS 15.6, watchOS 8.7 (i pokrewne).

Praktyczne konsekwencje / ryzyko

• Ransomware i LPE: CVE-2025-33073 idealnie nadaje się do eskalacji uprawnień w późniejszych etapach ataku po początkowym wdarciu (np. przez phishing), co zwiększa prawdopodobieństwo pełnej kompromitacji domeny.
• Przejęcia CMS i supply chain web: Ominięcie auth w Kentico z włączonym stagingiem to przejęcie stron/treści, wstrzyknięcia skryptów, pivot do sieci wewnętrznej. Dodatkowo ryzyko RCE przy łańcuchach ataku.
• Dług życiowy podatności: powrót CVE z 2022 r. (Apple) do KEV potwierdza, iż stare błędy przez cały czas są wykorzystywane, gdy urządzenia nie są aktualizowane.

Rekomendacje operacyjne / co zrobić teraz

1. Zastosuj poprawki w SLA „KEV-critical”:
   • Windows: wdroż czerwcowe łatki 2025 obejmujące CVE-2025-33073 i wymuś restart tam, gdzie to wymagane. Zweryfikuj, czy polityki blokują nieautoryzowane połączenia SMB do Internetu.
   • Kentico: zaktualizuj co najmniej do 13.0.178, a najlepiej do najnowszej wersji dostępnej u producenta; jeżeli Staging/Sync Server nie jest potrzebny – wyłącz. jeżeli potrzebny – przełącz na uwierzytelnianie X.509, zrotuj hasła i tokeny.
   • Apple: podnieś systemy do wersji zawierających poprawkę na CVE-2022-48503 (macOS/iOS/iPadOS/Safari/tvOS/watchOS) – choćby jeżeli sprzęt jest starszy.
2. Twarde ograniczenia sieciowe: blokuj nieautoryzowany SMB (445/TCP) na granicach sieci; stosuj SMB signing i segmentację.
3. Higiena tożsamości: monitoruj NTLM/SMB relay, ogranicz NTLM, preferuj Kerberos; włącz Protected Users/LDAP signing/SMB signing.
4. Telemetria i wykrywanie:
   • Szukaj nietypowych połączeń SMB do niespodziewanych hostów (np. z segmentów użytkowników do Internetu).
   • W Kentico – audytuj logi CMSPages/Staging/SyncServer.asmx, próby WS-Security z pustymi/niepoprawnymi tokenami.
5. IR gotowość: przygotuj playbook na LPE oraz na kompromitację CMS – szybka izolacja hostów, reset haseł, wymuszenie reautoryzacji sesji.
6. Zgodność z KEV: jeżeli podlegasz regulacjom zbliżonym do BOD 22-01, przyjmij deadline 21 dni jako twardy SLO.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• SMB LPE vs. RCE: CVE-2025-33073 to eskalacja uprawnień (wymaga już jakiegoś footholdu), ale w praktyce często decydująca dla pełnej kompromitacji. Kentico (CVE-2025-2746/2747) potrafi dać pre-auth dostęp i po złączeniu z inną luką – RCE na serwerze WWW.
• Stare vs. nowe: Apple CVE z 2022 r. pokazuje, iż stare luki bywają równie groźne jak świeże błędy, jeżeli pozostają niezałatane – stąd sensowność polityk „n-1” i regularnych aktualizacji.

Podsumowanie / najważniejsze wnioski

• CISA potwierdziła aktywną eksploatację trzech rodzin luk obejmujących popularne środowiska: Windows, Kentico Xperience i Apple.
• Priorytety: Windows (SMB LPE) → Kentico (auth bypass/chain to RCE) → Apple (nadrobienie zaległości patchowych).
• Działania: patch, segmentacja i blokada SMB, twarde uwierzytelnianie dla usług staging/sync, monitoring anomalii SMB/WS-Security oraz egzekwowanie terminów z KEV.

Źródła / bibliografia

• SecurityWeek: „CISA Warns of Exploited Apple, Kentico, Microsoft Vulnerabilities” (21 października 2025). (SecurityWeek)
• CISA Alert: „CISA Adds Five Known Exploited Vulnerabilities to Catalog” (20 października 2025). (CISA)
• NVD: CVE-2025-33073 – Windows SMB Client Improper Access Control. (NVD)
• WatchTowr Labs: „Bypassing Authentication Like It’s The ‘90s – Pre-Auth RCE Chain(s) in Kentico Xperience CMS” (marzec 2025). (watchTowr Labs)
• NVD: CVE-2025-2746 i CVE-2025-2747 – Kentico Xperience Authentication Bypass. (NVD)
• NVD: CVE-2022-48503 – Apple JavaScriptCore RCE (z informacjami o wersjach z poprawkami). (NVD)