SAP, Microsoft i Ivanti w pośpiechu łatają luki zero-day. Ataki hakerów już trwają

Trzej giganci rynku technologicznego — Microsoft, SAP i Ivanti — niemal równocześnie opublikowali aktualizacje swoich produktów, które zawierały istotne poprawki bezpieczeństwa, w tym eliminację niebezpiecznych luk typu zero-day, czyli podatności, które zostały wykryte już po tym, jak zaczęto je aktywnie wykorzystywać w cyberatakach.

Zgodnie z informacją opublikowaną przez Microsoft, firma zidentyfikowała i usunęła 78 luk w zabezpieczeniach, z czego: 11 uznano za krytyczne, 66 za poważne, 1 za mało istotną. Szczególnie niepokojące są dane, że aż 28 z tych podatności pozwalało na zdalne wykonanie dowolnego kodu, 21 umożliwiało eskalację uprawnień, a kolejne 16 mogło skutkować wyciekiem poufnych danych.

Pięć z luk już było aktywnie wykorzystywanych. Oto najgroźniejsze z nich:

• CVE-2025-30397 (CVSS: 7,5) – luka w silniku skryptowym przeglądarki Internet Explorer oraz trybu IE w Microsoft Edge, umożliwiająca uruchomienie kodu z uprawnieniami użytkownika.

• CVE-2025-30400 (CVSS: 7,8) – eskalacja uprawnień poprzez podatność w Desktop Window Manager.

• CVE-2025-32701, -32706, -32709 (wszystkie CVSS: 7,8) – podatności w sterownikach systemu Windows, pozwalające uzyskać nieautoryzowany dostęp na poziomie jądra systemu.

Ivanti: Zero-day w Endpoint Manager Mobile

Ivanti, firma znana z rozwiązań dla zarządzania urządzeniami mobilnymi, wydała aktualizacje EPMM, które eliminują dwie poważne luki zero-day. Co ważne, obydwie były już wykorzystywane w atakach typu łańcuchowego, co oznacza, że napastnicy łączyli je, by uzyskać pełną kontrolę nad urządzeniem.

• CVE-2025-4427 – pozwalała ominąć uwierzytelnienie API i uzyskać dostęp do zasobów systemowych.

• CVE-2025-4428 – umożliwiała zdalne wykonanie kodu przy pomocy specjalnie spreparowanych zapytań API.

Obie luki pochodziły z zewnętrznych, open-source’owych bibliotek. Firma Ivanti nie ujawniła, o które dokładnie chodzi. Poprawki trafiły do wersji: 11.12.0.5, 12.3.0.2, 12.4.0.2 i 12.5.0.1. Problem dotyczy wyłącznie lokalnych instalacji EPMM.

SAP: Luka w NetWeaver po raz kolejny

SAP z kolei zmierzył się z kolejną podatnością w swojej platformie NetWeaver – drugą w tym roku. W ramach dochodzenia w sprawie wcześniejszych ataków na lukę CVE-2025-31324, odkryto nową – CVE-2025-42999 – wynikającą z niebezpiecznej deserializacji danych.

W odróżnieniu od poprzednich, ta luka może być wykorzystana tylko przez użytkowników z uprawnieniami VisualComposerUser, co zawęża zakres ataku. SAP zaleca natychmiastową instalację łatek i – w miarę możliwości – wyłączenie usługi Visual Composer oraz ograniczenie dostępu do narzędzia Metadata Loader.