Nařízení vlády k novému zákonu o kybernetické bezpečnosti jsou v připomínkovém řízení
Dne 30. května 2025 byly do mezirezortního připomínkového řízení předloženy poslední dva prováděcí právní předpisy k novému zákonu o kybernetické bezpečnosti. Jedná se o Nařízení vlády o nepominutelných funkcích a Nařízení vlády o strategicky významných službách. Oba předpisy souvisí s mechanismem prověřování bezpečnosti dodavatelského řetězce a nejsou transpozicí směrnice NIS 2.
Zpoždění oproti návrhům vyhlášek, které NÚKIB rozeslal do meziresortního připomínkového řízení dříve, bylo způsobeno technickými závadami systému e-Legislativy, které musely být řešeny s provozovatelem tohoto systému. Až po jeho zásahu bylo možné návrhy nařízení vlády do meziresortního připomínkového řízení rozeslat. Připomínky ke zmíněným nařízením vlády lze předkládat ve standardní lhůtě 15 pracovních dnů.
Google varuje před novou vishingovou kampaní cílící na Salesforce
Společnost Google odhalila detaily o kybernetické skupině UNC6040, která se specializuje na tzv. vishing – tedy telefonní phishing zaměřený na zaměstnance firem. Útočníci se vydávají za IT podporu a pomocí přesvědčivých hovorů přimějí oběti k tomu, aby poskytli přístupové údaje nebo autorizovali upravenou aplikaci „Data Loader“. Tato falešná aplikace pak získá přístup do firemního prostředí Salesforce, odkud jsou hromadně kradena data. Cílem kampaně je nejen samotná krádež dat, ale i následné vydírání postižených organizací.
Kromě Salesforce získávají útočníci přístup také k dalším službám jako Okta, Microsoft 365 nebo Workplace. Google upozorňuje, že tyto útoky jsou výsledkem důkladného průzkumu a sociálního inženýrství, které využívá trendů v dálkové IT podpoře. Útoky podle Googlu nevznikají kvůli chybám v zabezpečení Salesforce, ale kvůli nedostatečnému povědomí uživatelů o kybernetických hrozbách. Salesforce mezitím potvrdil, že šlo o zneužití uživatelů, nikoliv o technickou zranitelnost, a připomněl zákazníkům důležitost vícefaktorového ověřování a omezení přístupu pomocí IP adres.
Záplatujte, v Roundcube byla nalezena kritická zranitelnost
V populárním open-source webmailu Roundcube byla nalezena kritická zranitelnost označena jako CVE-2025–49113 (skóre CVSS 9,9 z 10). Roundcube Webmail před verzí 1.5.10 a 1.6.x před verzí 1.6.11 umožňuje vzdálené spuštění kódu autentizovaným uživatelem, protože parametr _from v URL není v souboru program/actions/settings/upload.php validován, což vede k deserializaci objektů PHP,
uvádí se v dokumentu, který zveřejnil NIST.
Chyba se v systému, podle všeho, nacházela více než deset let bez povšimnutí a byla odstraněna v posledních verzích 1.6.11 a 1.5.10 LTS. V případě zneužití hrozilo, že útočník bude schopen převzetí kontroly nad postiženými systémy a spuštění škodlivého kódu. Roundcube se již v minulosti stala několikrát terčem útoků skupin jako jsou APT28 a Winter Vivern. Tyto kampaně ukazují, že nezáplatované systémy jsou i nadále vážným rizikem a je proto důležité klást důraz na pravidelné záplatování a aktualizování systémů.
Phishingová kampaň využívá falešné e-maily Booking.com k šíření malwaru
Rezervovali jste si někdy ubytování přes platformu Booking.com? Pokud ano, i na vás by mohla cílit kampaň ClickFix na kterou upozorňují analytici společnosti Cofense Intelligence.
Kampaň ClickFix postupně nabírá na síle od listopadu 2024, přičemž v posledních měsících došlo k pozoruhodnému zrychlení. Podle analýzy společnosti Cofense bylo jen v březnu 2025 zaznamenáno ohromujících 47 % celkového objemu kampaně.
V současnosti tyto e-maily míří nejčastěji na poskytovatele ubytování, které na oko informuje o novém požadavku hostů, který čeká na odpověď. Podvod začíná legitimně vypadajícím e-mailem obsahujícím odkaz na falešnou webovou stránku CAPTCHA. CAPTCHA test, obvykle určený k rozlišení člověka od robota, však v tomto případě stáhne po potvrzení škodlivý skript.
Ten pak uživatele přesvědčivě instruuje, aby pro dodatečné ověření stiskl specifickou sekvenci klávesových zkratek – obvykle klávesy Windows + R, následně Ctrl + V a nakonec Enter. Tato sekvence otevře v systému Windows příkazovou řádku, vloží skrytý škodlivý skript a ještě jej spustí.
Spuštění skriptu vede ve výsledku k instalaci dalšího škodlivého softwaru. V současnosti je nejčastěji používaný payload XWorm RAT – trojský kůň ke vzdálenému převzetí kontroly nad počítačem oběti.
Chrome ruší důvěru v problematické certifikační autority
Google pokračuje v posilování bezpečnostních opatření pro svůj prohlížeč Chrome a podniká komplexní kroky k ochraně milionů uživatelů po celém světě. Začátkem června 2025 společnost oznámila dvě hlavní rozhodnutí v oblasti kybernetické bezpečnosti: ukončení důvěryhodnosti kořenových certifikátů dvou problematických certifikačních autorit a vydání nouzové aktualizace k opravě kritické zranitelnosti, kterou již útočníci aktivně zneužívají.
Google se rozhodl vyřadit ze seznamu důvěryhodných certifikačních autorit dvě velké společnosti – Chunghwa Telecom a Netlock, kvůli systematickému porušovaní bezpečnostních požadavků a absenci pokroku při odstraňování zjištěných problémů. Změny vstoupí v platnost s vydáním Chrome 139, které je plánováno na začátek srpna v roce 2025. Po 31. červenci 2025 budou všechny nové TLS certifikáty vydané těmito certifikačními autoritami odmítnuty prohlížečem Chrome, což povede k zobrazeni celoobrazovkového bezpečnostního varování uživatelům.
Podle týmu Chrome Root Program dlouhodobé sledování odhalilo opakující se problémy s dodržováním předpisů, neplnění slibů o zlepšení a nedostatek měřitelného pokroku při řešení veřejně známých bezpečnostních incidentů. Obě společnosti Chunghwa Telecom a Netlock rozšířily řady nespolehlivých certifikačních autorit. Tento krok následuje po loňském rozhodnutí hlavních prohlížečů přestat uznávat certifikáty společnosti Entrust od listopadu 2024. Vlastníkům webových stránek, kteří používají certifikáty od těchto společností, Google doporučuje co nejdříve přejít k jiným důvěryhodným certifikačním autoritám, aby se vyhnuli problémům s dostupností stránek pro uživatele Chrome.
Současně s rozhodnutím o certifikačních autoritách Google vydal nouzovou aktualizaci k odstranění vážné zranitelnosti v prohlížeči Chrome, která je již aktivně zneužívána kyberzločinci v reálných útocích. Zranitelnost CVE-2025–5419 představuje chybu typu „přetečení vyrovnávací paměti“ v JavaScript enginu V8, který je zodpovědný za spouštění webových skriptů v Chrome. Tento problém umožňuje útočníkům číst a zapisovat data v oblastech paměti, které by měly být nepřístupné, což může vést ke kompletnímu kompromitování uživatelského systému.
Specialisté ze skupiny Google Threat Analysis Group objevili a nahlásili tuto zranitelnost 27. května. Společnost jí přiřadila vysokou úroveň nebezpečnosti a potvrdila, že útočníci již vyvinuli funkční exploit pro tuto zranitelnost. Zneužití podobných chyb může umožnit útočníkům spouštět libovolný kód na počítači uživatele, včetně instalace malwaru, krádeže osobních údajů nebo získání úplné kontroly nad systémem.
Pro ochranu před touto hrozbou je nutné, aby uživatelé okamžitě aktualizovali prohlížeč na aktuální verze: 137.0.7151.68/.69 pro Windows a Mac, 137.0.7151.68 pro Linux, 137.0.7151.79 pro iOS a 137.0.7151.72 pro Android.
Tučná pokuta zeštíhlí Vodafone GmBH
Německý úřad pro ochranu osobních údajů udělil pokutu 45 milionu eur Vodafone GmBH za porušení ochrany osobních údajů a bezpečnosti.
Spolková komisařka pro ochranu údajů a svobodu informací (BfDI) Prof. Dr. Louisa Specht-Riemenschneiderová uložila společnosti Vodafone GmbH dvě pokuty v celkové výši 45 milionů eur. Kvůli zaměstnancům partnerských agentur, kteří jménem společnosti Vodafone zprostředkovávají zákazníkům smlouvy, docházelo mimo jiné k podvodům kvůli fiktivním smlouvám nebo změnám smluv na úkor zákazníků.
Pokuta ve výši 15 milionů eur byla uložena za to, že společnost Vodafone GmbH z hlediska zákona o ochraně osobních údajů (čl. 28 odst. 1 věta 1 GDPR) nedostatečně kontrolovala a monitorovala partnerské agentury, které pro ni pracovaly.
Vzhledem k tomu, že byly navíc zjištěny slabiny v některých distribučních systémech, vydal BfDI společnosti Vodafone varování za porušení čl. 32 odst. 1 GDPR.
Další pokuta ve výši 30 milionů eur byla uložena za bezpečnostní nedostatky v procesu ověřování pro kombinované používání online portálu „MeinVodafone“ s Vodafone Hotline. Zjištěné autentizační nedostatky umožňovaly mimo jiné neoprávněným třetím stranám přístup k profilům eSIM.
Společnost Vodafone GmbH nyní zlepšila své procesy a systémy a v některých případech je dokonce zcela nahradila, aby tato rizika v budoucnu eliminovala. Přepracovala také procesy výběru a auditu partnerských agentur a přerušila spolupráci s partnery, u nichž bylo zjištěno, že se dopustili podvodu. V rámci následné kontroly BfDI přezkoumá praktickou účinnost opatření, která společnost Vodafone přijala.
Ve zkratce
- Fascinující příběh kolem uživatele ischhfd83. Toho který si rád nechává zadní vrátka
- Kritická zranitelnost v nástroji Wireshark umožňuje útočníkům vyvolat útok typu DoS přímo v monitorované síti
- Phishing, cílící mimo jiné na zákazníky AirBank, klame díky využití možností vykreslování HTML v aplikaci MS Outlook
- Chrome přichází s nástrojem na automatickou výměnu slabých nebo uniklých hesel přímo z prohlížeče
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
