🔐 Cyber Security Daily News | 15.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
"Dead Letter" (CVE-2026-45185, CVSS 9.8) — krytyczna luka RCE w Eximie znaleziona przez AI
Sekurak opisuje właśnie ujawnioną i załataną podatność w Exim — serwerze pocztowym obsługującym blisko 60% wszystkich publicznych serwerów poczty na świecie. Luka o nazwie "Dead Letter" (CVE-2026-45185) otrzymała ocenę 9.8/10 w skali CVSS i umożliwia zdalne wykonanie kodu bez żadnego uwierzytelnienia. Podatne są wersje od 4.97.1 do 4.98.2; naprawiona jest wersja 4.98.3. Co szczególnie istotne — lukę znalazł system AI wspierający pracę badaczy xbow.com, co jest kolejnym dowodem na rosnącą rolę AI w ofensywnym security research. Administratorzy serwerów pocztowych powinni pilnie zaktualizować Eximie — skala ekspozycji jest ogromna, a luka nadaje się do masowej eksploatacji.
Źródło: Sekurak [PL], CySecurity News [EN]
Cisco SD-WAN — krytyczny zero-day w maksymalnej skali ważności aktywnie eksploitowany
Cisco ostrzega przed aktywną eksploatacją krytycznej podatności w Cisco SD-WAN Manager — rozwiązaniu do zarządzania sieciami rozległymi używanym przez tysiące dużych organizacji i dostawców usług. Luka jest oceniana jako maksymalnie poważna i pozwala na zdalne wykonanie kodu bez uwierzytelnienia. SD-WAN Manager to centralny punkt zarządzania całą siecią WAN organizacji — jego przejęcie daje atakującym możliwość manipulowania całą infrastrukturą sieciową, przekierowywania ruchu i wyłączania zabezpieczeń. CISA umieściła lukę w katalogu KEV. Cisco wydało łatkę i wzywa wszystkich administratorów do natychmiastowej aktualizacji.
Źródło: BleepingComputer [EN], Dark Reading [EN]
Przetarg polskiego wojska na szkolenia z cyberbezpieczeństwa — zero ofert od rynku
CRN.pl informuje o niepokojącym fakcie: przetarg Ministerstwa Obrony Narodowej na szkolenia z zakresu cyberbezpieczeństwa dla żołnierzy i pracowników cywilnych wojska nie przyniósł ani jednej oferty. Firma specjalizująca się w szkoleniach bezpieczeństwa, która miałaby wziąć udział, stwierdziła, że warunki zamówienia — zwłaszcza wymogi dotyczące ceny i zakresu — były nierealistyczne. Problem ma szerszy wymiar: w Polsce brakuje wyspecjalizowanych dostawców szkoleń wojskowych z zakresu cyberbezpieczeństwa, a rynek komercyjny jest niezbyt zainteresowany skomplikowanymi wymaganiami sektora obronnego.
Źródło: CRN.pl [PL]
🚨 INCYDENTY
Pwn2Own Berlin 2026 — Windows 11 i Microsoft Edge zhackowane pierwszego dnia zawodów
Pierwszego dnia prestiżowego konkursu hakerskiego Pwn2Own 2026 w Berlinie badacze bezpieczeństwa z powodzeniem zhakowali zarówno Windows 11, jak i Microsoft Edge, zdobywając łącznie ponad 300 000 dolarów nagród. Luki zero-day zademonstrowane podczas Pwn2Own są natychmiastowo zgłaszane do producentów i muszą zostać naprawione w ciągu 90 dni. Tegoroczna edycja w Berlinie skupia się na AI, przeglądarkach i systemach operacyjnych — co odzwierciedla realne priorytety atakujących. Pomyślna eksploitacja na Pwn2Own sygnalizuje, że w ciągu najbliższych tygodni należy spodziewać się pilnych łatek od Microsoftu.
Źródło: BleepingComputer [EN]
KAZUAR — Microsoft ujawnia anatomię zaawansowanego botnetu na usługach państwa
Microsoft Security Blog publikuje szczegółową analizę KAZUAR — złożonego botnetu szpiegowskiego używanego przez grupę Turla, powiązaną z rosyjskim FSB. KAZUAR wyróżnia się wyjątkową architekturą: sieć peer-to-peer zainfekowanych systemów, gdzie każdy węzeł może pełnić rolę proxy dla innych, co praktycznie uniemożliwia identyfikację centralnej infrastruktury C2. Malware cechuje modularność — atakujący mogą zdalnie ładować nowe moduły szpiegowskie i eksfiltracyjne w zależności od profilu ofiary. KAZUAR był aktywny od ponad 10 lat i jest wciąż rozwijany; MS publikuje wskaźniki kompromitacji (IoC), które mogą pomóc wykryć infekcję.
Źródło: Microsoft Security Blog [EN]
KongTuke / Black Basta — hakerzy atakują korporacje przez Microsoft Teams
BleepingComputer opisuje kampanię grupy KongTuke (powiązanej z gangstem ransomware Black Basta), która porzuca tradycyjny phishing e-mailowy na rzecz ataków przez Microsoft Teams. Przestępcy tworzą fałszywe konta w Teamsie i kontaktują się z pracownikami, podszywając się pod helpdesk IT lub zewnętrznych dostawców. Nakłaniają ofiary do zainstalowania oprogramowania do zdalnego pulpitu (Quick Assist, AnyDesk) — i w ten sposób uzyskują bezpośredni, widoczny zdalny dostęp do systemu firmy. Technika jest szczególnie skuteczna, bo Teams jest postrzegany jako "bezpieczny kanał wewnętrzny" — pracownicy są mniej czujni niż przy e-mailach. Organizacje powinny wdrożyć polityki ograniczające, które zewnętrzne podmioty mogą inicjować czaty przez Teams.
Źródło: BleepingComputer [EN]
💡 CIEKAWOSTKI
Twórca cURL uruchamia Mythosa na własnym kodzie — co znalazł system "zbyt niebezpieczny, by upublicznić"?
Sekurak relacjonuje eksperyment Daniela Stenberga (twórcy cURL i libcurl, biblioteki używanej praktycznie przez cały internet), który uruchomił Anthropic Mythos — model AI do ofensywnego security research, który według Anthropic jest "zbyt niebezpieczny, by udostępniać go publicznie w obecnej formie" — na własnym kodzie. Wyniki były niepokojące i zarazem pouczające: Mythos znalazł błędy, których Stenberg i jego zespół wcześniej nie dostrzegli. Badanie podkreśla dylemat, przed którym stoi branża: modele AI zdolne do automatycznego znajdowania podatności w miliardach linii kodu będą rewolucją dla obrońców i katastrofą, jeśli trafią w niepowołane ręce.
Źródło: Sekurak [PL]
Gangi ransomware zaczynają grozić ofiarom przemocą fizyczną — nowy, mrożący krew trend
Bitdefender alarmuje o przerażającym nowym trendzie wśród gangów ransomware: atakujący zaczynają wysyłać fizyczne groźby pod adresem pracowników zaatakowanych firm — listami, telefonami lub przez media społecznościowe. Celem jest zwiększenie presji na zarządy, które mogą odmawiać zapłaty. Groźby obejmują ujawnienie adresów domowych kadry zarządzającej, informacje o dzieciach lub wprost — zagrożenia fizyczne. To fundamentalna eskalacja: z cyberprzestrzeni do realnego świata. Eksperci wskazują, że takie działania są odpowiedzią na rosnącą liczbę firm, które zdecydowanie odmawiają płacenia okupu i skutecznie odtwarzają dane z backupów.
Źródło: Bitdefender [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
12 złośliwych rozszerzeń Chrome i Edge do TikToka zbiera nadmierne dane użytkowników
Sekurak opisuje kampanię wykrytą przez badaczy: 12 złośliwych rozszerzeń do przeglądarek Chrome i Edge, podszywających się pod narzędzia do pobierania filmów z TikToka, zbiera znacznie więcej danych, niż jest to konieczne do działania — w tym historię przeglądania, dane uwierzytelniające i ciasteczka sesji. Rozszerzenia były dostępne zarówno w Chrome Web Store, jak i Edge Add-ons. Kampania ta jest ciekawym przypadkiem: twórcy korzystają z popularności TikToka i faktu, że platforma sama nie oferuje oficjalnych narzędzi do pobierania. Dla użytkowników: pobieranie filmów przez nieoficjalne rozszerzenia jest zawsze ryzykowne — warto szukać rozwiązań webowych bez potrzeby instalacji wtyczki.
Źródło: Sekurak [PL]
Google Play: 28 fałszywych aplikacji szpiegowskich wykrytych i usuniętych ze sklepu
Dobreprogramy opisują usunięcie przez Google 28 fałszywych aplikacji ze sklepu Play, które w rzeczywistości były narzędziami szpiegowskimi zbierającymi dane użytkowników i wysyłającymi je na zewnętrzne serwery. Aplikacje podszywały się pod narzędzia do produktywności, czyszczenia telefonu i optymalizacji baterii — kategorie, które przyciągają użytkowników szukających darmowych rozwiązań. Kampania pokazuje, że mimo wieloletnich wysiłków Google w zakresie weryfikacji aplikacji, złośliwe oprogramowanie regularnie trafia do oficjalnego sklepu. Przed instalacją aplikacji warto sprawdzić liczbę recenzji, historię developera i uprawnienia, o które aplikacja prosi.
Źródło: Dobreprogramy [PL]
🌐 DEZINFORMACJA, CYBER ВОЙНА
FrostyNeighbor (Ghostwriter/Białoruś) atakuje polskie i ukraińskie instytucje rządowe — nowa kampania od marca 2026
ESET Research ujawniło szczegóły nowej fali ataków grupy FrostyNeighbor — białoruskiej grupy szpiegowskiej znanych też jako Ghostwriter, UNC1151 i Storm-0257 — wymierzonej bezpośrednio w Polskę, Ukrainę i Litwę. Kampania, aktywna od marca 2026 roku, stosuje spear-phishing z plikami PDF podszywającymi się pod korespondencję ukraińskiego operatora telekomunikacyjnego Ukrtelecom. Po kliknięciu linku uruchamiana jest JavaScript-owa wersja downloadera PicassoLoader, który finalnie instaluje Cobalt Strike — profesjonalne narzędzie do post-compromise. Kluczową innowacją jest walidacja ofiary po stronie serwera (geofencing): użytkownicy spoza docelowych krajów otrzymują nieszkodliwy plik. W Polsce ataki celują w sektor przemysłowy, produkcję, ochronę zdrowia, logistykę i administrację rządową. To bezpośrednie zagrożenie dla polskich instytucji.
Źródło: Dark Reading [EN]
Ostrzeżenie pełnomocnika rządu ds. cyberbezpieczeństwa: phishing na Signala celuje w polskich urzędników
CyberDefence24 relacjonuje oficjalne ostrzeżenie Pełnomocnika Rządu ds. Cyberbezpieczeństwa dotyczące aktywnej kampanii phishingowej wymierzonej w polskich urzędników i pracowników instytucji publicznych korzystających z komunikatora Signal. Mechanizm ataku: fałszywe zaproszenia do "połączenia urządzeń" wysyłane przez spreparowane kody QR lub linki, które de facto rejestrują urządzenie atakującego jako urządzenie połączone z kontem ofiary — dając stały dostęp do zaszyfrowanej korespondencji. Ostrzeżenie jest szczególnie ważne w kontekście niedawnych doniesień o rosyjskich operacjach phishingowych wymierzonych w Signal w Niemczech.
Źródło: CyberDefence24 [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 14 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.