CISA ostrzega przed czterema nowymi lukami – pilnie załatwiaj swoje systemy

Czy twój serwer poczty, SD-WAN i narzędzia deweloperskie mogą paść ofiarą tego samego trendu? Krótka odpowiedź: tak – właśnie trafiły na listę CISA.

Amerykańska CISA dodała do katalogu KEV cztery luki wykorzystywane „na żywo”: w Zimbra Collaboration Suite, platformie SD-WAN Versa Concerto, frameworku Vite oraz pakiecie eslint-config-prettier. Federalne instytucje mają czas do 12 lutego 2026 r. na załatanie lub wyłączenie zagrożonych systemów. Prywatny sektor? Lepiej nie zwlekać – to wygodne wektory pierwszego dostępu i ruchu bocznego.

KEV (Known Exploited Vulnerabilities) to nie kolejny spis „wysokich CVSS-ów”, tylko lista CVE z potwierdzoną eksploatacją. To ona stanowi dziś kompas priorytetów pod dyrektywę BOD 22-01. Katalog puchnie z roku na rok, bo rośnie liczba nadużywanych luk – w 2025 r. przybyło ich ponad 200, a cała lista przekroczyła 1,4 tys. pozycji. Krótko: jeśli dana luka trafia do KEV, to znaczy, że jest aktywnie wykorzystywana. [8]

Cztery wektory, jeden problem: realne exploity

Zimbra (CVE-2025-68645). Klasyczny LFI w Webmail Classic UI, bez potrzeby logowania. Atakujący może craftować zapytania do endpointu /h/rest i „wciągać” dowolne pliki z katalogu WebRoot. Luka dotyczy ZCS 10.0 i 10.1, została ujawniona pod koniec grudnia 2025 r., a wykorzystanie odnotowano co najmniej od 14 stycznia 2026. Producent załatał problem w wersji 10.1.13 (listopad 2025). Maile to wciąż jeden z najczęstszych wektorów wejścia do sieci – Zimbra regularnie bywa pierwszym krokiem w łańcuchu ataku.

Versa Concerto SD-WAN (CVE-2025-34026). Krytyczne obejście uwierzytelniania spowodowane błędną konfiguracją reverse proxy Traefik. Skutek: dostęp do administracyjnych endpointów, w tym Actuator, a więc do zrzutów sterty i logów trasowania. Wersje 12.1.2-12.2.0 są podatne (NVD dodaje, że „inne też mogą być”), a poprawka pojawiła się w marcu-kwietniu 2025 r. (12.2.1 GA). Nie jest to luka efektowna, ale potrafi otworzyć drzwi do paneli administracyjnych.

Vite (CVE-2025-31125). Nieprawidłowa kontrola dostępu w dev serwerze Vite może ujawnić zawartość „niedozwolonych” plików poprzez manipulację parametrami typu ?inline&import lub ?raw?import. Jest jedno „ale”: chodzi o instancje developerskie wystawione do sieci (tak, wciąż zdarza się je wystawiać). Luka została załatana w marcu 2025 r. w gałęziach 6.2.4, 6.1.3, 6.0.13, 5.4.16 i 4.5.11. Morał? Dev to też produkcja – przynajmniej dla skanerów.

eslint-config-prettier (CVE-2025-54313). To nie błąd, to kompromitacja łańcucha dostaw. W lipcu 2025 r. napastnicy wyłudzili loginy maintainerów (phishing „na weryfikację maila”), a potem wgrali na npm zainfekowane wersje kilku pakietów, m.in. eslint-config-prettier. Instalacja podejrzanych wersji (8.10.1, 9.1.1, 10.1.6, 10.1.7) uruchamiała install.js, który na Windows odpalał node-gyp.dll – loader złodzieja informacji, w tym tokenów npm. Słowem: „formatowanie kodu” stało się trojańskim koniem. [3]

Co mówi CISA i jakie są terminy

CISA dorzuciła te cztery pozycje do KEV 22 stycznia, wymagając od agencji FCEB wdrożenia poprawek lub zaleceń producenta (albo wyłączenia usług) do 12 lutego 2026 r. Agencja nie wskazała sprawców ani nie opisała łańcuchów ataku – standardowo podkreśla jedynie, że to „częste wektory ataku i istotne ryzyko dla federalnych sieci”. Status wykorzystania przez ransomware? Oznaczony jako „nieznany”. Dzień później do KEV trafiła jeszcze krytyczna luka w Broadcom VMware vCenter (CVE-2024-37079) – to pokazuje tempo, w jakim KEV się dziś zmienia. [1]

Dlaczego to ma znaczenie

Po pierwsze, różnorodność. W jednym rzucie mamy: pocztę korporacyjną (Zimbra), orkiestrację sieci (Versa), narzędzie front-endowe (Vite) i zależność deweloperską (Prettier). Przekrój taki, że łatwiej wskazać, czego tu nie ma. Po drugie, łańcuch dostaw. Kompromitacja npm to sygnał, że nawet „niewinne” configi mogą stać się nośnikiem malware’u. Po trzecie, ekspozycja dev. Wystawione serwery developerskie bywają błędem, który realnie zwiększa powierzchnię ataku.

Praktyka ponad slogany

Jeśli używasz Zimbry 10.0/10.1 – celuj w 10.1.13 lub nowszą i filtruj dostęp do /h/rest (WAF nie zaszkodzi). Przy Versa Concerto nie kończ na łatce – zrób rotację poświadczeń i przejrzyj segmentację sieci, bo kto widział Actuator, mógł zobaczyć zbyt wiele. Dla Vite zaktualizuj do wersji z łatką i w ogóle nie wystawiaj dev serwera na świat (jeśli musisz, rób to za uwierzytelnionym tunelem). A po incydencie z eslint-config-prettier: sprawdź, czy nie zainstalowałeś zainfekowanych wersji, przejrzyj logi CI/CD, unieważnij i odtwórz tokeny npm. To nudne? Owszem. Skuteczne? Jeszcze bardziej.

Na koniec ważny detal o KEV: ten katalog priorytetyzuje to, co jest realnie wykorzystywane, a nie tylko to, co ma 9.x w CVSS. W 2025 r. takich aktywnie wykorzystywanych pozycji przybyło wyjątkowo dużo – i nic nie wskazuje, by 2026 miało zahamować. Warto więc powiązać proces zarządzania łatkami z KEV na stałe, nie tylko „na audyt”.

Czy będziemy jeszcze widzieć dev-narzędzia obok SD-WAN-ów na tej samej liście? Jeśli organizacje dalej będą ufać defaultom i wystawiać „tymczasowe” usługi, odpowiedź niestety nie wymaga sztucznej inteligencji.

FAQ

Kiedy agencje federalne muszą załatać te cztery luki dodane do KEV?

Termin CISA to 12 lutego 2026 r. To wymóg z dyrektywy BOD 22-01 dla FCEB; prywatnym firmom zaleca się niezwłoczne działanie.

Które wersje Vite zawierają poprawkę na CVE-2025-31125?

Poprawki są w 6.2.4, 6.1.3, 6.0.13, 5.4.16 i 4.5.11. Luka dotyczy głównie serwerów dev jawnie wystawionych do sieci.

Jakie wersje eslint-config-prettier były złośliwe w incydencie supply chain (CVE-2025-54313)?

Zainfekowane były wersje 8.10.1, 9.1.1, 10.1.6 i 10.1.7. Należy je odinstalować, zaktualizować i unieważnić tokeny npm.

Czy luka Zimbra CVE-2025-68645 jest już wykorzystywana w atakach?

Tak, CISA potwierdza wykorzystanie, a obserwacje wskazują na aktywność co najmniej od 14 stycznia 2026 r. Dostępna jest poprawka w ZCS 10.1.13.

Jakie wersje Versa Concerto są podatne na CVE-2025-34026 i kiedy to naprawiono?

Podatne są 12.1.2-12.2.0 (mogą też istnieć inne). Producent naprawił problem w marcu-kwietniu 2025 r. (12.2.1 GA), zalecana jest też rotacja poświadczeń.

Źródła

• [1] https://cisa.gov/news-events/alerts/2026/01/23/cisa-adds-one-known-exploited-vulnerability-catalog
• [2] https://thehackernews.com/2026/01/cisa-updates-kev-catalog-with-four.html
• [3] https://bleepingcomputer.com/news/security/cisa-confirms-active-exploitation-of-four-enterprise-software-bugs/
• [4] https://gbhackers.com/cisa-updates-kev-catalog-with-4-critical-vulnerabilities-following-ongoing-exploits/
• [5] https://cyble.com/blog/cisa-adds-new-exploited-vulnerabilities-to-catalog/
• [6] https://securitymagazine.com/articles/101758-4-critical-known-exploited-vulnerabilities-added-to-kev-catalog
• [7] https://cyberpress.org/cisa-adds-four-critical-vulnerabilities-to-kev-catalog-following-active-exploitation/
• [8] https://thecyberexpress.com/cisa-adds-enterprise-software-flaws-to-kev/
• [9] https://cybersecuritynews.com/cisa-expands-kev-catalog/