Miniony tydzień przyniósł falę zero-day’ów wykorzystywanych in the wild, spektakularny supply chain attack na popularną wtyczkę WordPress i coraz agresywniejsze kampanie ransomware wymierzone w szpitale. Jeśli zarządzasz infrastrukturą IT – choćby jednym serwerem – ten raport pokaże Ci, co dokładnie się wydarzyło i jak zminimalizować ryzyko.
1. Fortinet FortiClient EMS – Zero-Day CVE-2026-35616 (CVSS 9.1)
Co się stało?
Firma watchTowr wykryła aktywną eksploatację krytycznej luki w FortiClient EMS (wersje 7.4.5 i 7.4.6) jeszcze przed publikacją oficjalnego advisory Fortineta. CVE-2026-35616 to pre-authentication API bypass umożliwiający eskalację uprawnień i zdalne wykonanie kodu. CISA dodała podatność do katalogu KEV 6 kwietnia, wyznaczając federalnym agencjom termin łatania na 9 kwietnia.
Dlaczego to jest ważne?
FortiClient EMS to centralny punkt zarządzania endpointami w tysiącach organizacji. Nieuwierzytelniony atakujący uzyskuje dostęp do serwera zarządzającego – a stamtąd ma otwartą drogę do każdego klienta w sieci. Hotfix dostępny, pełna łatka (7.4.7) w drodze.
Jak się chronić?
Natychmiast zastosuj hotfix opublikowany przez Fortinet. Jeśli nie możesz patchować – ogranicz dostęp sieciowy do panelu EMS wyłącznie z zaufanych adresów IP. Monitoruj logi pod kątem nieautoryzowanych wywołań API.
2. Storm-1175 i ransomware Medusa – Microsoft rozbiera kampanię na czynniki
Co się stało?
Microsoft Threat Intelligence opublikował 6 kwietnia szczegółową analizę grupy Storm-1175, która prowadzi błyskawiczne kampanie ransomware Medusa. Grupa eksploatuje podatności N-day (w tym zero-day’e CVE-2026-23760 w SmarterMail i CVE-2025-10035 w GoAnywhere MFT) tydzień przed ich publicznym ujawnieniem. Od kompromitacji do zaszyfrowania danych mija niekiedy 24 godziny.
Dlaczego to jest ważne?
Storm-1175 uderza przede wszystkim w sektory healthcare, edukacji i finansów w USA, UK i Australii. Model double extortion (szyfrowanie + wyciek) oznacza, że nawet backup nie eliminuje ryzyka – skradzione dane trafiają na leak site Medusy.
Jak się chronić?
Priorytetowe łatanie publicznie znanych podatności w systemach wyeksponowanych do internetu (web-facing assets). Segmentacja sieci – odizolowanie krytycznych systemów medycznych. Wyłączenie zbędnych usług RDP i MFT z dostępu publicznego.
3. Chrome Zero-Day CVE-2026-5281 – Czwarty w tym roku
Co się stało?
Google wydał awaryjną aktualizację Chrome 146 (146.0.7680.177/178) łatającą lukę use-after-free w komponencie Dawn (implementacja WebGPU). To czwarty aktywnie eksploatowany zero-day Chrome w 2026 roku. CISA dodała CVE do katalogu KEV 1 kwietnia.
Dlaczego to jest ważne?
Dawn jest częścią projektu Chromium – podatność dotyczy więc również Edge, Brave, Opera i każdej przeglądarki opartej na Chromium. Atakujący, który skompromitował proces renderera, może wykonać dowolny kod poprzez spreparowaną stronę HTML.
Jak się chronić?
Aktualizuj Chrome (i inne przeglądarki Chromium) do najnowszej wersji. Wdróż politykę automatycznych aktualizacji w organizacji. Rozważ sandboxing przeglądarki w środowiskach o podwyższonym ryzyku.
4. Supply Chain Attack na Smart Slider 3 Pro – 800 000 instalacji zagrożonych
Co się stało?
7 kwietnia nieznani atakujący przejęli system aktualizacji wtyczki Smart Slider 3 Pro (WordPress/Joomla), podmienili wersję 3.5.1.35 na wariant z backdoorem. Złośliwy kod działał przez ok. 6 godzin. Backdoor umożliwiał zdalne wykonanie kodu PHP i komend OS, tworzył ukrytego administratora (np. „wpsvc_a3f1″) i eksfiltrował dane uwierzytelniające do serwera C2.
Dlaczego to jest ważne?
800 000+ aktywnych instalacji, wielowarstwowy mechanizm persystencji z redundantnymi punktami wejścia. Atakujący ukrywał konto admina, manipulując hookami WordPress (pre_user_query, views_users). Nawet krótkie okno ekspozycji wystarczy, by skompromitować tysiące stron.
Jak się chronić?
Natychmiast zaktualizuj do wersji 3.5.1.36 lub cofnij się do 3.5.1.34. Przeszukaj bazę danych pod kątem nieznanych kont administratorów. Sprawdź logi serwera z 7 kwietnia. Rozważ audyt integralności plików wtyczek (np. Wordfence, Sucuri).
5. OAuth Device Code Phishing – 340+ organizacji M365 złamanych
Co się stało?
Od 19 lutego trwa masowa kampania phishingowa wykorzystująca mechanizm OAuth Device Code Flow w Microsoft 365. Ofiary z ponad 340 organizacji w USA, Kanadzie, Australii, Nowej Zelandii i Niemczech zostały nakłonione do wprowadzenia kodu autoryzacyjnego na legalnej stronie logowania Microsoftu. Atakujący korzystają z narzędzia EvilTokens i infrastruktury Cloudflare Workers + Railway.
Dlaczego to jest ważne?
Ta technika omija MFA – po wpisaniu kodu i przejściu uwierzytelnienia wieloskładnikowego, atakujący otrzymuje tokeny dostępu i odświeżania. Reset hasła nie odbiera atakującemu dostępu. Celowane sektory: budownictwo, NGO, nieruchomości, finanse, ochrona zdrowia, sektor publiczny.
Jak się chronić?
Ogranicz lub wyłącz Device Code Flow w Azure AD (Conditional Access). Monitoruj logowania z nietypowym User-Agent i lokalizacją. Wdróż alerty na nowe tokeny OAuth przyznawane bez typowego flow interaktywnego. Edukuj użytkowników – nikt nie powinien wpisywać kodu autoryzacyjnego otrzymanego e-mailem.
6. Eurail – Wyciek danych 308 777 podróżnych (paszporty, IBAN-y)
Co się stało?
Eurail B.V. oficjalnie powiadomił organy regulacyjne w USA o naruszeniu, które nastąpiło 26 grudnia 2025. Atakujący wyeksfiltrował 1,3 TB danych – w tym kopie paszportów, numery IBAN, dane zdrowotne, kod źródłowy platformy i kopie zapasowe. Dane trafiły na sprzedaż w dark webie; sample opublikowano na Telegramie.
Dlaczego to jest ważne?
308 777 osób z programów Eurail, Interrail i DiscoverEU ma teraz skompromitowane dokumenty tożsamości. Kopie paszportów + IBAN to gotowy zestaw do kradzieży tożsamości i fraudu bankowego. Eurail dopiero 27 marca 2026 zaczął powiadamiać poszkodowanych – trzy miesiące po incydencie.
Jak się chronić?
Jeśli korzystałeś z Eurail/Interrail – monitoruj swoje konto bankowe i rozważ zastrzeżenie dokumentu tożsamości. Firmy: minimalizujcie retencję danych osobowych (szczególnie kopii dokumentów) i szyfrujcie je at rest.
7. CareCloud – Masowy wyciek danych medycznych milionów pacjentów
Co się stało?
CareCloud, dostawca systemów EHR (Electronic Health Records) obsługujący ponad 45 000 lekarzy w USA, potwierdził, że 16 marca atakujący uzyskał 8-godzinny dostęp do systemu elektronicznej dokumentacji medycznej. Skradziono imiona i nazwiska, numery Social Security, dane ubezpieczeniowe i historię medyczną pacjentów.
Dlaczego to jest ważne?
Skala jest ogromna – 45 000 placówek medycznych oznacza potencjalnie miliony poszkodowanych pacjentów. Dane medyczne mają na czarnym rynku wyższą wartość niż dane finansowe, bo nie da się „zresetować” historii choroby tak jak numeru karty kredytowej.
Jak się chronić?
Organizacje medyczne: wdrożenie zero-trust architecture, MFA na każdym punkcie dostępu do EHR, segmentacja baz danych pacjentów. Indywidualnie: monitoruj wyjaśnienia korzyści ubezpieczeniowych (EOB) pod kątem fałszywych roszczeń.
8. AstraZeneca – Lapsus$ publikuje 3 GB wewnętrznych danych
Co się stało?
Grupa Lapsus$ ogłosiła przejęcie wewnętrznych systemów giganta farmaceutycznego AstraZeneca i opublikowała 3 GB danych – w tym kod źródłowy, materiały infrastrukturalne i dane pracowników. Po nieudanej próbie sprzedaży dane udostępniono za darmo. AstraZeneca nie potwierdziła oficjalnie naruszenia.
Dlaczego to jest ważne?
Lapsus$ (grupa znana z ataków na Microsoft, Uber, Rockstar Games) wraca z głośnymi celami. Wyciek kodu źródłowego firmy farmaceutycznej może ujawnić podatności w systemach produkcyjnych i łańcuchu dostaw leków.
Jak się chronić?
Organizacje: audyt dostępu do repozytoriów kodu źródłowego, implementacja DLP (Data Loss Prevention), monitorowanie dark webu pod kątem wzmianek o firmie. Ograniczenie uprawnień w modelu least privilege.
9. Nowelizacja NIS2 – Komisja Europejska upraszcza regulacje
Co się stało?
20 stycznia 2026 Komisja Europejska zaproponowała pakiet zmian do dyrektywy NIS2, wprowadzając nową kategorię podmiotów – „small mid-caps” (do 750 pracowników, do 150 mln EUR przychodu). Zmiany upraszczają zasady jurysdykcji, usprawniają zbieranie danych o atakach ransomware i wzmacniają rolę koordynacyjną ENISA. Niemcy jako jedne z pierwszych państw transponowały NIS2 do prawa krajowego.
Dlaczego to jest ważne?
Nowa kategoria „small mid-caps” oznacza, że tysiące dodatkowych europejskich firm będą objęte obowiązkami cyberbezpieczeństwa. Firmy, które do tej pory nie mieściły się w definicji „essential” ani „important”, mogą teraz podlegać wymogom raportowania incydentów i zarządzania ryzykiem.
Jak się chronić?
Sprawdź, czy Twoja organizacja mieści się w nowej kategorii. Rozpocznij gap analysis zgodności z NIS2. Przygotuj procedury raportowania incydentów (24h notyfikacja wstępna, 72h raport szczegółowy).
10. CVE-2026-20963 – Microsoft SharePoint w katalogu KEV
Co się stało?
CISA dodała CVE-2026-20963 (podatność w Microsoft SharePoint) do katalogu Known Exploited Vulnerabilities, potwierdzając aktywną eksploatację w środowiskach produkcyjnych. Szczegóły techniczne luki wskazują na możliwość zdalnego wykonania kodu przez uwierzytelnionych użytkowników.
Dlaczego to jest ważne?
SharePoint to fundament współpracy w tysiącach organizacji na świecie. Podatność eksploatowana in the wild oznacza, że atakujący z niskimi uprawnieniami mogą przejąć kontrolę nad serwerem SharePoint – a stamtąd dotrzeć do dokumentów, danych HR i wewnętrznych procesów firmy.
Jak się chronić?
Zastosuj najnowsze łatki Microsoft. Ogranicz uprawnienia użytkowników SharePoint do niezbędnego minimum. Monitoruj logi pod kątem nietypowej aktywności (masowe pobieranie plików, tworzenie nowych kont). Rozważ wdrożenie Web Application Firewall przed publicznie dostępnymi instancjami SharePoint.
Puenta tygodnia
Pięć zero-day’ów eksploatowanych in the wild w jednym tygodniu. Supply chain attack na wtyczkę z 800 000 instalacji. Technika phishingowa omijająca MFA. Wzorzec jest jasny – atakujący działają szybciej niż kiedykolwiek, a okno między ujawnieniem podatności a jej masową eksploatacją kurczy się do godzin.
Jeden priorytet na ten tydzień: przejrzyj stan patchowania systemów wyeksponowanych do internetu. Nie jutro. Dziś. Każdy dzień zwłoki to dzień, w którym Storm-1175 skanuje Twoje serwery.
Ten raport powstał na podstawie informacji ze źródeł: Microsoft Security Blog, The Hacker News, CyberScoop, SecurityWeek, Help Net Security, Cybernews, TechCrunch, CISA KEV.
Zabezpiecz Swoją stronę i markę w 48h
Praktyczny przewodnik cyberbezpieczeństwa dla małych, średnich firm i twórców cyfrowych
Cyberbezpieczeństwo dla EDUKACJI
Kompletny przewodnik cyberbezpieczeństwa dla edukacji od RODO i NIS2 do świadomego pracownika.
Teczka bezpieczeństwa dla Edukacji
Kompletny zestaw wzorów i szblonów dokumentów rejestrów i procedur (ponad 60 dokumentów w pdf i docx) dla ochrony danych i cyberbezpieczeństwa w placówkach edukacyjnych
7 obowiązków Dyrektora szkoły w zakresie cyberbezpieczeństwa
Mini przewodnik cyberbezpieczeństwa dla kadry zarządzającej w edukacji.
5 kroków, które zabezpieczą Twoją stronę przed 80% ataków
Mini przewodnik dla właścicieli stron www i twórców cyfrowych
Wypełnij formularz, a w ciągu 24h skontaktujemy się z Tobą w sprawie audytu Twojej strony www, firmy lub instytucji.
Dlaczego warto zamówić audyt cyberbezpieczeństwa?
Twoja strona www, poczta i systemy IT to serce Twojego biznesu lub instytucji. Wystarczy jedna luka bezpieczeństwa, by dane klientów, uczniów czy beneficjentów trafiły w niepowołane ręce.
Audyt cyberbezpieczeństwa White Cyber pozwoli Ci:
-
sprawdzić zabezpieczenia strony www, systemów i procesów,
-
wykryć błędy konfiguracyjne i luki w politykach bezpieczeństwa,
-
otrzymać raport ryzyk i plan napraw 30/60/90 dni,
-
przygotować się na wymagania RODO, NIS2 i ISO 27001.
Co się dzieje po wypełnieniu formularza?
- W ciągu 24 godzin skontaktujemy się z Tobą telefonicznie lub mailowo.
- Ustalimy zakres audytu (podstawowy – strona www, lub rozszerzony – cała organizacja).
- Po audycie otrzymasz raport i gotowe rekomendacje działań.
Nie ryzykuj kar i utraty reputacji. Zabezpiecz swoją organizację z White Cyber.
0 komentarzy