Postřehy z bezpečnosti: kritické zranitelnosti v Cisco ISE a Webex

20. 4. 2026

Doba čtení: 7 minut

Líbí se vám článek?
Podpořte redakci

V dnešním díle se podíváme na kritické zranitelnosti v produktech společnosti Cisco, nový RAT zaměřený na Android, sofistikovaný adware a dvě kritické zranitelnosti v produktech od Fortinetu.

Cisco opravuje kritické chyby v ISE a Webexu

Společnost Cisco vydala opravy pro čtveřici kritických bezpečnostních nedostatků zasahujících služby Identity Services Engine (ISE) a Webex, které mohou vyústit v libovolné spuštění kódu nebo impersonaci uživatelů. Nejzávažnější zranitelnost v rámci Webex Services, evidovaná pod označením CVE-2026–20184 (CVSS skóre 9,8), pramení z nesprávné validace certifikátů při integraci Single Sign-On (SSO) s Control Hubem. Tato zranitelnost umožňuje neautentizovanému útočníkovi vzdáleně převzít identitu libovolného uživatele v rámci služby, čímž získává neoprávněný přístup k firemním zdrojům bez nutnosti interakce s obětí.

Další kritický vektor představuje zranitelnost CVE-2026–20147 s CVSS hodnocením 9,9, která postihuje přímo ISE a jeho pasivní identifikační konektor (ISE-PIC). Problém spočívá v nedostatečné validaci uživatelských vstupů, což otevírá cestu pro vzdálené spuštění kódu (RCE). Útočník, který již disponuje administrativními přihlašovacími údaji, může prostřednictvím specificky vytvořených HTTP požadavků infiltrovat podkladový operační systém. Cisco ve svém varování uvádí, že úspěšné zneužití umožňuje útočníkovi získat uživatelský přístup k systému a následně eskalovat svá privilegia na úroveň root.

Riziko se dále prohlubuje u dvojice chyb CVE-2026–20180 a CVE-2026–20186, které mají rovněž kritické CVSS skóre 9,9. Tyto nedostatky v ISE umožňují útočníkům, kteří mají pouze omezený přístup pro čtení (read-only admin), spouštět libovolné příkazy v operačním systému zařízení. Tato schopnost přeměnit nízkoúrovňový přístup v plnou kontrolu nad infrastrukturou je zásadní, neboť útočník může zneužít důvěryhodnou pozici autorizačního serveru k laterálnímu pohybu v síti, sledování provozu nebo trvalému přístupu k systému.

Vedle rizika kompromitace důvěrnosti a integrity dat představují tyto chyby i riziko pro dostupnost infrastruktury ve formě odepření služby (DoS). Zejména u nasazení ISE s jedním uzlem může úspěšná exploitace způsobit pád systému, čímž se autentizační procesy stanou nedostupnými. V takovém scénáři nebudou nově připojená koncová zařízení schopna získat přístup k síťovým zdrojům, dokud nebude uzel obnoven. Tato situace demonstruje, že selhání centrálního prvku identity okamžitě paralyzuje provoz celé organizace a mění bezpečnostní incident v hlubokou provozní krizi.

Mirax RAT: Mobilní proxy hrozba

V kyberbezpečnostním prostoru byl identifikován nový, vysoce sofistikovaný malware zaměřený na operační systém Android, nesoucí označení Mirax RAT. Tato hrozba představuje významný evoluční stupeň v oblasti mobilních hrozeb, protože v sobě kombinuje schopnosti klasického trojského koně pro vzdálený přístup s pokročilou funkcí budování síťové infrastruktury. Aktuálně je tato kampaň aktivní především ve španělsky mluvících zemích, ovšem její dosah je potenciálně globální.

Mirax neslouží pouze k prosté krádeži dat, ale transformuje infikovaná zařízení v další článek útočné infrastruktury, což útočníkům umožňuje sledovat aktivitu uživatele v reálném čase, provádět overlay útoky pro zachycení hesel nad legitimními aplikacemi a exfiltrovat citlivý obsah, jako jsou soukromé fotografie nebo interní data aplikací.

Zásadním a relativně neobvyklým prvkem tohoto malwaru je schopnost vytvářet takzvané rezidenční proxy servery. Mirax na pozadí napadeného zařízení spustí SOCKS5 server, který útočníkům umožňuje směrovat jejich vlastní síťový provoz přímo přes IP adresu oběti. Pro útočníky to přináší obrovskou výhodu v podobě vysoké anonymity, protože jejich aktivity vypadají jako legitimní provoz běžného domácího uživatele. Takové chování je pro bezpečnostní systémy mnohem hůře detekovatelné než provoz pocházející z datových center, což útočníkům usnadňuje obcházení geolokačních omezení nebo provozování rozsáhlých podvodných kampaní s minimálním rizikem okamžitého zablokování.

Šíření malwaru probíhá primárně mimo oficiální obchod Google Play prostřednictvím reklam na sociálních sítích, které lákají na falešné služby, jako jsou bezplatné IPTV nebo streamovací aplikace. Proces infekce začíná stažením instalačního souboru APK z platformy GitHub, přičemž uživatel je následně metodami sociálního inženýrství manipulován k povolení instalace z neznámých zdrojů. Celý mechanismus je navržen tak, aby efektivně obešel základní bezpečnostní prověrky a automatizované analýzy. Samotný kód malwaru navíc obsahuje pokročilé techniky pro detekci sandboxových prostředí a analytických nástrojů, díky kterým dokáže svou škodlivou aktivitu v případě hrozícího odhalení včas maskovat.

Podle bezpečnostních výzkumníků se Mirax nedistribuuje masově, ale využívá vysoce kontrolovaný a exkluzivní model prodeje omezený na malý počet partnerů. Indicie směřují k rusky mluvícím aktérům s etablovanou reputací v undergroundových komunitách, kteří přístup k malwaru poskytují pouze prověřeným skupinám. Přestože přesné cíle aktuální kampaně zůstávají předmětem šetření, tematické zaměření použitých reklam naznačuje, že by operace mohla mít i špionážní podtext zaměřený na vojenské a vládní záležitosti v konfliktních regionech. To by Mirax RAT posouvalo z roviny běžné finanční kriminality do sféry sofistikované kybernetické špionáže s potenciálním státním zájmem.

Anti-antivirus, 25 000 ks za 10 dolarů

Sofistikovanou hrozbu, ukrytou v na první pohled „obyčejném“ adwaru, odhalili v nyní zveřejněné podrobné zprávě výzkumníci ze společnosti Huntress. A také zjistili, že jediná internetová doména, neregistrovaná a dostupná přibližně za 10 dolarů, mohla útočníkům umožnit skrytou kontrolu nad více než 25 000 kompromitovanými zařízeními po celém světě.

Software je digitálně podepsán společností Dragon Boss Solutions, jež se prezentuje jako firma zabývající se „výzkumem monetizace vyhledávání“ se sídlem ve Spojených arabských emirátech, a detekčními nástroji byl dlouhodobě klasifikován jen jako potenciálně nežádoucí program (PUP – Potentially Unwanted Program). PUPy, tedy typicky adware, jsou obvykle považovány spíše za obtěžující než vyloženě škodlivé, protože jejich hlavním účelem je generovat příjmy pro své vývojáře, např. zobrazováním reklamních oken, bannerů nebo přesměrováním odkazů v prohlížeči.

Analýza výzkumníků z Huntress však ukázala, že tento adware se nenápadně vyvinul v mnohem nebezpečnější nástroj. Nyní běží se systémovými právy a instaluje do prostředí Windows malware napsaný v PowerShellu. Před nasazením hlavního payloadu instalátor provádí průzkum systému: kontroluje administrátorská oprávnění, detekuje virtuální prostředí, ověřuje připojení k internetu a zjišťuje přítomnost antivirů (např. Malwarebytes, Kaspersky, McAfee, ESET).

Tyto bezpečnostní produkty jsou následně deaktivovány pomocí powershellového skriptu ClockRemoval.ps1. Ten se spouští při startu systému, při přihlášení uživatele a dále každých 30 minut. Zajišťuje, že antiviry zůstávají odstraněny – zastavuje služby, ukončuje procesy, maže instalační složky a registry, spouští odinstalátory a maže soubory. Zároveň blokuje opětovnou instalaci antiviru tím, že upravuje soubor hosts – přesměrovává domény výrobců na adresu 0.0.0.0.

Malware si zajišťuje perzistenci pomocí naplánovaných úloh a WMI událostí, které přetrvají i po restartu systému. Dále přidává výjimky do Windows Defenderu, které z pravidelných kontrol vyjmou adresáře připravené pro budoucí payload, který může zahrnovat prakticky cokoli – kryptominery, ransomware nebo třeba nástroje pro krádež a exfiltraci uživatelských dat.

Zajímavým zjištěním výzkumníků pak byla konfigurace aktualizací tohoto malwaru. Hlavní použitá doména (chromsterabrowser[.]com) nebyla zaregistrována. Kdokoli, kdo by ji zakoupil, by mohl distribuovat libovolný škodlivý kód na všechna infikovaná zařízení – a to bez nutnosti zneužití jakékoli další zranitelnosti, protože bezpečnostní ochrana na těchto koncových strojích už byla deaktivována. Tímto nedopatřením paradoxně autoři malwaru sami vytvořili ve svém produktu slabinu, jež se standardně klasifikuje jako útok na dodavatelský řetězec (supply chain attack vector).

Společnost Huntress si doménu následně zaregistrovala a přesměrovala ji do tzv. DNS sinkhole s cílem sledovat, jaký provoz na ni bude směřovat. Výsledek byl impozantní – zaregistrovali přístup z přibližně 25 tisíc unikátních IP adres, představujících reálná zařízení, která zde hledala aktualizační instrukce. Zajímavá je i struktura tohoto provozu:

Infekce zasáhla 124 zemí, přičemž ve Spojených státech se nacházelo více než 12 000 zařízení. Francie, Kanada, Spojené království a Německo následovaly s počtem zhruba 2 000 zařízení na každou zemi. Zvlášť znepokojivý byl ale rozsah infekce v sítích, které považujeme za kritické. 324 zařízení bylo lokalizováno do citlivých prostředí:

221 univerzit a vysokých škol
41 sítí dodavatelů elektřiny, hromadné dopravy, a další kritické infrastruktury
35 vládních organizací
3 zdravotnické instituce

Huntress varuje, že i když aktuální nástroj „jen“ odstraňuje antiviry, infrastruktura sama umožňuje nasazení mnohem nebezpečnějších útoků. Navíc, přestože aktualizační doména nebyla v okamžiku, kdy ji výzkumníci nalezli, registrována, nelze vyloučit, že ji mohl kdokoliv již dříve také dočasně převzít a distribuovat libovolný škodlivý kód na tisíce nechráněných zařízení.

Administrátorům pak autoři zprávy doporučují:

hledat v logu WMI události obsahující „MbRemoval“ nebo „MbSetup“
hledat plánované úlohy s názvy „WMILoad“ nebo „ClockRemoval“
hledat systémové procesy podepsané Dragon Boss Solutions LLC
zkontrolovat soubor hosts a hledat v něm příznaky blokování antivirových domén
prověřit výjimky v Microsoft Defenderu (např. umístění „DGoogle“, „EMicrosoft“, „DDapps“)

Fortinet a dvě kritické zranitelnosti

Společnost Fortinet minulý týden zveřejnila 26 bezpečnostních upozornění, která celkem pokrývají 27 zranitelností napříč jejím portfoliem. Nejzávažnější z nich se týkají produktu FortiSandbox, určeného k pokročilé analýze škodlivého softwaru. První kritická chyba, vedená pod označením CVE-2026–39808, je zranitelnost typu OS command injection. Neautentizovanému útočníkovi umožňuje vzdáleně spustit neoprávněný kód nebo příkazy pomocí speciálně upravených HTTP požadavků. Zasaženy jsou verze FortiSandbox 4.4.0 až 4.4.8, přičemž oprava je dostupná od verze 4.4.9.

Druhá kritická zranitelnost, CVE-2026–39813, zasahuje rozhraní FortiSandbox JRPC API. Jde o chybu typu path traversal, která umožní neautentizovanému útočníkovi obejít ověřování a získat vyšší oprávnění v systému. Týká se verzí 4.4.0 až 4.4.8 a 5.0.0 až 5.0.5. Opravené jsou verze 4.4.9 a 5.0.6 a novější. Obě kritické chyby mají skóre 9,1 v systému CVSS a lze je zneužít bez přihlášení.

V době psaní článku Fortinet neuváděl, že by některá z výše zmíněných kritických chyb ve FortiSandboxu byla aktivně zneužívána. Další podrobnosti jsou k dispozici v přehledu Fortinet PSIRT advisories.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Seriál: Postřehy z bezpečnosti