Ogłoszenia

Podatność polega na wysłaniu odpowiednio spreparowanego zapytania HTTP, które umożliwi wykonanie dowolnego kodu na serwerze. Wykorzystanie podatności jest trywialne i zostało publicznie opisane, co znacząco zwiększa ryzyko ataków.

Podatność CVE-2025-55182, dotycząca RSC, występuje w wersjach 19.0, 19.1.0, 19.1.1 oraz 19.2.0 następujących modułów:

• react-server-dom-webpack,

• react-server-dom-parcel,

• react-server-dom-turbopack.

Według producenta - w przypadku braku implementacji funkcjonalności tych modułów, aplikacja i tak będzie podatna, ponieważ do wykorzystania luki wystarczy, że dany moduł jest zainstalowany.

Więcej informacji na temat tej podatności można znaleźć na stronie producenta https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Istnieją aplikacje, które do swojego działania wykorzystują lub pobierają podatne moduły. Wśród nich na ten moment można wymienić:

• Next.js,

• react-router,

• waku,

• @parcel/rsc,

• @vitejs/plugin-rsc,

• rwsdk.

Jeżeli korzystają Państwo z tych rozwiązań, lub innych, które wykorzystują podatne moduły, należy jak najszybciej przeprowadzić aktualizację oprogramowania do wersji, które nie zawierają podatności.

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2025/61/krytyczna-podatnosc-w-react-server-components-oraz-innych-aplikacjach-z-tym-rozwiazaniem/

✉️ Obserwujemy kolejną kampanię phishingową, w której oszuści podszywają się pod firmę kurierską. Tym razem pod DHL, ale warto pamiętać, że zmiana logotypu czy nazwy to dla przestępców kwestia kilku chwil - podobne ataki mogą wykorzystywać logo dowolnej firmy. W wiadomościach e-mail przestępcy informują o rzekomej konieczności przejścia przez odprawę celną i uiszczenia niewielkiej opłaty, aby przesyłka mogła zostać dostarczona.

🔗 Po kliknięciu w link ofiara trafia na fałszywy formularz, który służy do wyłudzenia danych karty płatniczej. Przestępcy mogą następnie dokonywać nieautoryzowanych transakcji na rachunkach poszkodowanych.

⚠️ Podejrzane wiadomości zgłaszaj przez formularz: https://incydent.cert.pl

✅ Chronisz w ten sposób siebie i innych!

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2025/60/w-okresie-black-friday-oraz-przedswiatecznych-zakupow-wiele-osob-czeka-na-paczki/

Oszuści rozsyłają wiadomości w wielu wariantach, m. in.:

- informacje o oficjalnym powiadomieniu elektronicznym od gov.pl,

- nowej aktywności w serwisie gov.pl,

- utworzeniu nowej sesji na urządzeniu mobilnym.

📞 W wiadomościach zachęcają do kontaktu telefonicznego pod wskazany numer. Po wykonaniu połączenia przestępcy próbują nakłonić do zainstalowania oprogramowania dającego im zdalny dostęp do komputera.

W efekcie atakujący dokonują nieautoryzowanych przelewów na swoje konta a ofiary mogą stracić środki.

⚠️ Podejrzane wiadomości zgłaszaj przez formularz: https://incydent.cert.pl/

✅ Chronisz w ten sposób siebie i innych!

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2025/59/nowa-odsona-kampanii-phishingowej-podszywajacej-sie-pod-serwisy-w-domenie-govpl/

Oszuści rozsyłają wiadomości w wielu wariantach, m. in.:

- informacje o oficjalnym powiadomieniu elektronicznym od gov.pl,

- nowej aktywności w serwisie gov.pl,

- utworzeniu nowej sesji na urządzeniu mobilnym.

📞 W wiadomościach zachęcają do kontaktu telefonicznego pod wskazany numer. Po wykonaniu połączenia przestępcy próbują nakłonić do zainstalowania oprogramowania dającego im zdalny dostęp do komputera.

W efekcie atakujący dokonują nieautoryzowanych przelewów na swoje konta a ofiary mogą stracić środki.

⚠️ Podejrzane wiadomości zgłaszaj przez formularz: https://incydent.cert.pl/

✅ Chronisz w ten sposób siebie i innych!

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/59/nowa-odsona-kampanii-phishingowej-podszywajacej-sie-pod-serwisy-w-domenie-govpl/

W oprogramowaniu Grafana Enterprise oraz Grafana Cloud występuje podatność umożliwiająca podszycie się pod istniejące konto (w tym konto administratora) poprzez wykorzystanie protokołu SCIM. Podatność występuje jedynie w konfiguracjach, w których flaga enableSCIM ma ustawioną wartość TRUE, oraz opcja user_sync_enabled w bloku auth.scim jest ustawiona na TRUE.

W celu uzyskania informacji o wersjach oprogramowania, w których podatności zostały usunięte, zalecamy śledzić komunikaty producenta.

Zespół CERT Polska rekomenduje niezwłoczną weryfikację swojej konfiguracji. Domyślne ustawienia systemu nie są podatne. W przypadku wykrycia kompromitacji systemu zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie incydent.cert.pl

Więcej o podatności można przeczytać na stronie https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2025/58/podatnosc-w-oprogramowaniu-grafana-enterprise-i-grafana-cloud/

W oprogramowaniu Grafana Enterprise oraz Grafana Cloud występuje podatność umożliwiająca podszycie się pod istniejące konto (w tym konto administratora) poprzez wykorzystanie protokołu SCIM. Podatność występuje jedynie w konfiguracjach, w których flaga enableSCIM ma ustawioną wartość TRUE, oraz opcja user_sync_enabled w bloku auth.scim jest ustawiona na TRUE.

W celu uzyskania informacji o wersjach oprogramowania, w których podatności zostały usunięte, zalecamy śledzić komunikaty producenta.

Zespół CERT Polska rekomenduje niezwłoczną weryfikację swojej konfiguracji. Domyślne ustawienia systemu nie są podatne. W przypadku wykrycia kompromitacji systemu zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie incydent.cert.pl

Więcej o podatności można przeczytać na stronie https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/58/podatnosc-w-oprogramowaniu-grafana-enterprise-i-grafana-cloud/

W oprogramowaniu Fortinet FortiWeb Manager występuje podatność umożliwiająca utworzenie nowego konta (w tym konta z uprawnieniami administratora) nieuwierzytelnionemu atakującemu poprzez wykonanie spreparowanego zapytania HTTP POST na odpowiednią ścieżkę: /api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi. Podatność jest aktywnie wykorzystywana przez atakujących i ma identyfikator CVE-2025-64446.

Wykorzystanie podatności wymaga włączonego dostępu do GUI panelu administratora za pomocą protokołu HTTP(S).

Informacje odnośnie podatnych wersji i dostępnych aktualizacji znajdują się na stronie producenta https://fortiguard.fortinet.com/psirt/FG-IR-25-910

Zespół CERT Polska rekomenduje niezwłoczną aktualizację oprogramowania do najwyższej możliwej wersji oraz weryfikację logów HTTP pod kątem zapytań do wskazanej ścieżki oraz istniejących kont użytkowników. W przypadku wykrycia kompromitacji urządzenia zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie incydent.cert.pl

Więcej o podatności można przeczytać na stronie https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-fortinet-fortiweb-exploited-in-the-wild/ .

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2025/57/aktywnie-wykorzystywana-krytyczna-podatnosc-w-urzadzeniach-fortinet-fortiweb-manager/

W oprogramowaniu Fortinet FortiWeb Manager występuje podatność umożliwiająca utworzenie nowego konta (w tym konta z uprawnieniami administratora) nieuwierzytelnionemu atakującemu poprzez wykonanie spreparowanego zapytania HTTP POST na odpowiednią ścieżkę: /api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi. Podatność jest aktywnie wykorzystywana przez atakujących i na chwilę obecną nie ma przypisanego identyfikatora CVE.

Wykorzystanie podatności wymaga włączonego dostępu do GUI panelu administratora za pomocą protokołu HTTP(S).

W celu uzyskania informacji o wersjach oprogramowania, w których podatności zostały usunięte, zalecamy śledzić komunikaty producenta.

Zespół CERT Polska rekomenduje niezwłoczną aktualizację oprogramowania do najwyższej możliwej wersji oraz weryfikację logów HTTP pod kątem zapytań do wskazanej ścieżki oraz istniejących kont użytkowników. W przypadku wykrycia kompromitacji urządzenia zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie incydent.cert.pl

Więcej o podatności można przeczytać na stronie https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-fortinet-fortiweb-exploited-in-the-wild/

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/57/aktywnie-wykorzystywana-krytyczna-podatnosc-w-urzadzeniach-fortinet-fortiweb-manager/

✉️ Adresaci wiadomości, pod pozorem odebrania zwrotu za zakupione leki, są zachęcani do odwiedzenia strony, która w rzeczywistości jest stroną phishingową wyłudzającą dane użytkowników.

⌛ Ponadto oszuści w celu uskutecznienia oszustwa informują o krótkim terminie odebrania wniosku, tak aby ofiary miały mniej czasu, aby zorientować się, że podana wiadomość jest fałszywa.

⚠️ Pamiętaj żeby zgłaszać podejrzane wiadomości za pomocą formularza na stronie http://incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/56/zwrot-kosztow-lekow-nie-daj-sie-nabrac/

✉️ Adresaci wiadomości, pod pozorem odebrania zwrotu za zakupione leki, są zachęcani do odwiedzenia strony, która w rzeczywistości jest stroną phishingową wyłudzającą dane użytkowników.

⌛ Ponadto oszuści w celu uskutecznienia oszustwa informują o krótkim terminie odebrania wniosku, tak aby ofiary miały mniej czasu, aby zorientować się, że podana wiadomość jest fałszywa.

⚠️ Pamiętaj żeby zgłaszać podejrzane wiadomości za pomocą formularza na stronie http://incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2025/56/zwrot-kosztow-lekow-nie-daj-sie-nabrac/

📌 Raport za październik 2025 jest dostępny pod tym linkiem – https://cert.pl/uploads/docs/Podsumowanie_CSIRT_NASK_2025_10.pdf

W każdym wydaniu raportu miesięcznego znajdziesz:

• najnowsze statystyki incydentów,

• opisy aktualnych kampanii i technik ataków,

• działania zespołu na rzecz edukacji i współpracy,

• rekomendacje, jak chronić siebie i swoje systemy.

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2025/55/raport-miesieczny-za-pazdziernik-2025/

📌 Raport za październik 2025 jest dostępny pod tym linkiem – https://cert.pl/uploads/docs/Podsumowanie_CSIRT_NASK_2025_10.pdf

W każdym wydaniu raportu miesięcznego znajdziesz:

• najnowsze statystyki incydentów,

• opisy aktualnych kampanii i technik ataków,

• działania zespołu na rzecz edukacji i współpracy,

• rekomendacje, jak chronić siebie i swoje systemy.

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/55/raport-miesieczny-za-pazdziernik-2025/

🔗 Link znajdujący się w treści przekierowuje na fałszywy panel logowania do banku, który służy do wykradania loginów i haseł do bankowości elektronicznej.

⚠️ Pamiętajcie, że przestępcy zmieniają szatę graficzną, ale regularnie korzystają z tych samych schematów oszustw.

✅ Umiejętność ich rozpoznawania i ograniczone zaufanie pozwolą Wam ochronić siebie i innych - podejrzane wiadomości zgłaszajcie przez formularz na stronie incydent.cert.pl

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/54/kolejna-kampania-wymierzona-w-klientow-pko-bp/

📲 Wiadomość zawiera informację o rzekomej aktywacji konta technicznego i nakłania do pobrania oraz zainstalowania złośliwej aplikacji z linku zawartego w treści.

💳 Złośliwe oprogramowanie służy do ataku typu NFC relay, który polega na przechwyceniu komunikacji zbliżeniowej (w tym na przykład danych karty płatniczej) i przekazaniu jej na odległość - na przykład do wspólnika przestępców czekającego przy bankomacie.

📜 Więcej szczegółów, w tym techniczną analizę przypadku, znajdziecie w artykule: https://cert.pl/posts/2025/11/analiza-ngate/

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/53/malware-w-faszywej-aplikacji-banku/

🔗 Link zawarty w wiadomości kieruje do strony wyłudzającej dane osobowe oraz dane karty płatniczej, z szatą graficzną wykorzystującą logotypy instytucji państwowych.

⚠️ Pamiętaj żeby zgłaszać podejrzane wiadomości za pomocą formularza na stronie http://incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/52/obserwujemy-kampanie-oszustw-w-ktorej-przestepcy-podszywaja-sie-pod-narodowy-fundusz-zdrowia/

Pierwsza z wiadomości, wysłana 28.10.2025, zawierała szkodliwy plik arkusza kalkulacyjnego XLSX. Umieszczono w nim link do pliku rzekomo zawierającego dodatkowe informacje - w rzeczywistości był to złośliwy plik wykonywalny, który po uruchomieniu infekował hosta.

30.10.2025 miała miejsce kolejna wysyłka. Tym razem fałszywa wiadomość nie zawiera szkodliwego załącznika, lecz bazuje na socjotechnice - jej celem jest wyłudzenie danych osób odpowiedzialnych za bezpieczeństwo teleinformatyczne w danej organizacji.

IoC:

• govministry[.]pl

• security@govministry[.]pl - adres nadawcy wiadomości

• gov.pl - tytuł wiadomości ze szkodliwym załącznikiem

• Pilna weryfikacja kontaktów w ramach Krajowego Programu Cyberbezpieczeństwa 2024-2028 - tytuł szkodliwej wiadomości

• 45.61.149.41:443 - adres serwera C2 szkodliwego oprogramowania

Rekomendacje

• Weryfikacja logów pod kątem powyższych IoC.

• W przypadku wykrycia - zgłoszenie incydentu do właściwego CSIRT-u poziomu krajowego.

• W przypadku uruchomienia szkodliwego pliku - bezzwłoczne odizolowanie maszyny.

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/51/uwaga-ostrzegamy-przed-kampania-podszywajaca-sie-pod-ministerstwo-cyfryzacji/

📲 Dziś obserwujemy bardzo podobny schemat, ale rozsyłany SMS-owo. Przestępcy do lakonicznej wiadomości o zwrocie dołączają link do strony phishingowej.

🎓 Jest to doskonały przykład tego, jak pozornie zróżnicowane mogą być zagrożenia w internecie, ale wszystkie sprowadzają się do tych samych sztuczek socjotechnicznych - podszyć pod instytucje, graniu na chęci zysku, presji czasu czy strachu odbiorcy.

✅ Podejrzane wiadomości SMS przesyłajcie na darmowy numer 8080 - chronicie w ten sposób siebie i innych!

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/50/zwrot-podatku-podobna-kampania-inny-wektor/

Podatność oznaczona jako CVE-2025-59287 umożliwia zdalne wykonanie kodu przez nieuwierzytelnionego atakującego, a w efekcie przejęcie kontroli nad urządzeniem.

W celu zabezpieczenia przed wykorzystaniem podatności, należy zaktualizować oprogramowanie do najnowszej wersji, udostępnionej dnia 23.10.2025.

Więcej informacji na temat zagrożenia znajduje się na stronie producenta: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/49/opublikowano-informacje-na-temat-krytycznej-podatnosci-wykrytej-w-windows-server-update-service/

💳 Witryna pozwala na wybór banku, a następnie prosi o podanie danych karty płatniczej i danych kontaktowych. Dane te trafiają bezpośrednio do przestępców, a ich podanie grozi utratą pieniędzy z konta.

⚠️ Pamiętaj żeby zgłaszać podejrzane wiadomości za pomocą formularza na stronie http://incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/48/e-urzad-skarbowy-informuje-o-zwrocie-pieniedzy-uwazaj-to-moze-byc-oszustwo/

✉️ W najnowszej odsłonie tej kampanii przestępcy rozsyłają wiadomości mailowe zawierające informację o paczce rzekomo oczekującej na odbiór. Zachęcają do otwarcia załącznika aby poznać szczegóły.

📦 W załączonym archiwum zip znajduje się plik ze złośliwym oprogramowaniem, najczęściej w formacie .js. Zanim otworzysz załącznik od nieznanego nadawcy, zwróć uwagę na detale!

⚠️ Wszelkie podejrzane wiadomości możesz zgłosić do naszego zespołu za pomocą formularza na stronie http://incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/47/jesienna-odsona-phishingu-na-paczke/

Występuje ona jedynie w instalacjach, które są wykorzystywane jako kontroler domeny Active Directory, mają włączoną obsługę protokołu WINS oraz parametr "wins hook".

Podatność oznaczona jako CVE-2025-10230 umożliwia zdalne wykonanie kodu przez nieuwierzytelnionego atakującego poprzez wykorzystanie parametru "wins hook", a w efekcie przejęcie kontroli przez atakującego.

Podatność występuje we wszystkich wersjach powyżej 4.0. Więcej informacji na temat zagrożenia znajduje się na stronie https://www.samba.org/samba/security/CVE-2025-10230.html

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/46/krytyczna-podatnosc-cve-2025-10230-w-oprogramowaniu-samba-active-directory-domain-controller/

Powodem nagłej publikacji kilkudziesięciu podatności jest incydent ujawniony przez producenta i skomentowany przez CISA, dotyczący kradzieży części kodu źródłowego oraz informacji o nieujawnionych wcześniej lukach bezpieczeństwa.

Podatności występują m. in. w produktach:

• BIG-IP,

• F5OS-A / F5OS-C,

• BIG-IQ i BIG-IP Next.

Dokładne wersje i zakres podatności zostały opisane w publikacjach F5 załączonych poniżej.

Przykładowe podatności opisane przez producenta:

• CVE-2025-53868 (CVSS 8.5) - ominięcie ograniczeń trybu „Appliance”.

• CVE-2025-61955 (CVSS 8.5) - możliwa eskalacja uprawnień w F5OS.

• CVE-2025-60016 (CVSS 8.7) - błąd w obsłudze profili SSL/TLS.

Zalecane działania:

• Zweryfikuj, czy organizacja korzysta z urządzeń F5 - jeżeli tak, sprawdź modele urządzeń oraz wersje wykorzystywanego oprogramowania. Zweryfikuj, czy panele są dostępne z Internetu.

• Odłącz zewnętrzny dostęp do interfejsów zarządzania.

• Zastosuj dostępne poprawki i aktualizacje od producenta dla podatnych wersji.

Więcej informacji na temat zaistniałego incydentu, opublikowanych podatności oraz zaleceń technicznych można znaleźć na stronach:

• https://www.cisa.gov/news-events/directives/ed-26-01-mitigate-vulnerabilities-f5-devices

• https://my.f5.com/manage/s/article/K000154696

• https://my.f5.com/manage/s/article/K000156572

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/45/powazne-podatnosci-w-urzadzeniach-f5/

W każdym wydaniu znajdziesz:

• najnowsze statystyki incydentów,

• opisy aktualnych kampanii i technik ataków,

• działania zespołu na rzecz edukacji i współpracy,

• rekomendacje, jak chronić siebie i swoje systemy.

📌 Raport za wrzesień 2025 jest już dostępny – https://cert.pl/posts/2025/10/raport-miesieczny-09/

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/44/nowa-dawka-informacji-o-cyberzagrozeniach/

Wiadomość zawiera informację o nowej paczce wysłanej przez klienta. Zdjęcie załączone do wiadomości, które ma imitować etykietę przesyłki, zawiera w sobie odnośnik do strony pobierającej szkodliwe oprogramowanie.

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/43/kampania-dystrybucji-szkodliwego-oprogramowania-podszywajaca-sie-pod-firme-pocztex/

W wiadomości imitującej typowe zabezpieczenie przed nieautoryzowanym dostępem informują, że na konto w portalu dokonano nowego logowania z nieznanego urządzenia.

Sugestia, że wykonano je w celu podpisania jakichś dokumentów ma na celu wywołanie w ofierze niepokoju i skłonienie do działania.

W wiadomości znajduje się numer telefonu do rzekomej "pomocy technicznej". Wejście w kontakt z przestępcami skutkuje próbą zmanipulowania ofiary do niekorzystnym rozporządzeniem mienia.

Pamiętaj, żeby w takich przypadkach zawsze weryfikować domenę nadawcy wiadomości, czyli część adresu email po znaku "@".

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/42/kampania-wykorzystujaca-wizerunek-portalu-govpl/

🔗 Wiadomości mailowe rozsyłane przez oszustów zawierają link, który prowadzi do strony wyłudzającej dane osobowe i karty płatniczej.

🌐 Pamiętaj, zawsze sprawdzaj adres nadawcy wiadomości, jak również adres strony internetowej, na której planujesz podać swoje dane.

⚠️ Wszelkie podejrzane wiadomości możesz zgłosić do naszego zespołu za pomocą formularza na stronie incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/41/obserwujemy-kolejny-rzut-kampanii-podszyc-pod-narodowy-fundusz-zdrowia/