Samsung opravuje zranitelnost typu zero-day
Samsung vydal zářijovou bezpečnostní aktualizaci pro zařízení s Androidem, která opravuje kritickou zranitelnost CVE-2025–21043 s hodnocením CVSS 8.8. Tato zranitelnost představuje problém se zápisem mimo povolené hranice (out-of-bounds) v knihovně pro zpracování obrázků libimagecodec.quram.so a umožňuje útočníkům vzdálené spouštění libovolného kódu. Samsung potvrdil, že zranitelnost byla aktivně zneužívána v reálných podmínkách. O zranitelnosti informovaly bezpečnostní týmy Meta a WhatsApp 13. srpna.
Vzhledem k umístění zranitelnosti v knihovně pro zpracování obrázků ve WhatsAppu, mohla být zneužívána při útocích proti uživatelům messengeru, podobně jako nedávná zranitelnost iOS CVE-2025–43300. WhatsApp dříve informoval o sofistikovaných útocích využívajících související zranitelnost CVE-2025–55177, které postihly méně než 200 uživatelů. Podle Amnesty International byly útoky zaměřeny proti uživatelům iPhone i Android. Útoky jsou přisuzovány komerčním dodavatelům špionážního softwaru.
Oprava čtyř zranitelností v automatizačním nástroji Jenkins
Společnost Jenkins vydala aktualizace populárního vývojářského nástroje pro kontinuální integraci. Aktualizace řeší čtyři zranitelnosti, které by neověření útočníci a útočníci s nízkými oprávněními mohli zneužít k narušení služby nebo získání citlivých konfiguračních údajů.
Zranitelnost s vysokým ohodnocením závažnosti (CVE-2025–5115) se týká instalací, které jsou balené spolu s Jetty a pouze těch, které povolují HTTP/2, obvykle pomocí --http2Port argumentu java -jar jenkins.war nebo odpovídajících možností v konfiguračních souborech služby. Ve výchozím nastavení je tato funkce zakázána ve všech nativních instalačních programech a obrazech Dockeru poskytovaných projektem Jenkins. Nová verze tak aktualizuje dodávanou instalaci Jetty, kde se problém již nevyskytuje.
Další zranitelnosti CVE-2025–59475 a CVE-2025–59474 se týkají oblastí nástroje Jenkins, které jsou záměrně přístupné uživatelům bez oprávnění pro čtení. Kvůli nedostatečné kontrole oprávnění zde může útočník získat omezené informace o konfiguraci Jenkinsu zobrazením dostupných možností v této nabídce (např. zda je nainstalován plugin Credentials).
Poslední zranitelnost s klasifikací jako střední, CVE-2025–59476, se týká možné manipulace s obsahem výstupu do konzole. Všechny uvedené chyby jsou opraveny ve verzích Jenkins LTS 2.516.3 a Jenkins weekly 2.528.
Oprava kritické zranitelnosti v Microsoft Entra ID
Zranitelnost, kterou výzkumník popsal jako pravděpodobně nejzávažnější, jakou kdy objevil, spočívala v kombinaci staršího ověřovacího mechanismu a chyby validace API. Chyba, která je nyní opravena, byla objevena v červenci 2025 a byla označena kódem CVE-2025–55241 (CVSS 10).
Útočník využíval pro útok dvě klíčové komponenty. První byly nedokumentované tokeny pro interní použití, které služby společnosti Microsoft používají ke vzájemné komunikaci jménem uživatele. Tyto výkonné tokeny nepodléhají standardním bezpečnostním zásadám, jako je podmíněný přístup. V kombinaci s chybou v rozhraní Azure AD Graph API selhalo správné ověření, zda příchozí token objektu Actor pochází od stejného klienta, ke kterému se pokoušel přistupovat.
Toto selhání ověření znamenalo, že token vyžádaný v testovacím prostředí útočníka mohl být použit k cílení a přístupu ke klientovi jiné organizace. Útočník by se mohl vydávat za globálního správce a získat neomezený přístup k úpravě nastavení klienta, vytváření nebo přebírání identit a udělování jakýchkoli oprávnění.
Tato kontrola by se vztahovala na všechny připojené služby Microsoft 365 , jako je Exchange Online a SharePoint Online, a také na všechny prostředky hostované v Azure. Globalní oprava ze strany společnosti Microsoft byla nasazena již dva dny od nahlášení zranitelnosti a podle vyšetřování společnosti Microsoft nebyly nalezeny žádné důkazy o zneužití této zranitelnosti.
SilentSync RAT šířený přes dva škodlivé balíčky
Výzkumníci objevili v repozitáři PyPI dva škodlivé balíčky, které na systémech Windows šíří trojského koně SilentSync. Ten umožňuje vzdálené spouštění příkazů, krádež souborů i přihlašovacích údajů z prohlížečů Chrome, Brave, Edge a Firefox. Balíčky, nahrané uživatelem „CondeTGAPIS“, již byly z PyPI odstraněny.
Červ Shai-Hulud šíří malware kradoucí tokeny na npm
V pondělí 15. září objevili výzkumníci z ReversingLabs (RL) vůbec prvního samoreplikujícího se červa v open-source registru npm. Červ s názvem „Shai-hulud“ se šíří řetězovou kompromitací účtů v npm, do nichž vkládá škodlivý kód do legitimních veřejných i soukromých balíčků patřících napadenému vývojáři.
SonicWall vyzývá k resetu hesel
Společnost SonicWall varovala zákazníky před incidentem, při němž došlo k neoprávněnému přístupu ke cloudovým zálohám konfiguračních souborů firewallů uložených na portálu MySonicWall. Útočníci se prostřednictvím brute-force útoků dostali k souborům méně než 5 % zákazníků. Přestože jsou přihlašovací údaje v zálohách šifrované, soubory obsahují i další informace, které by mohly usnadnit případné zneužití. Firma zároveň uvedla, že nešlo o ransomware a nemá informace o zveřejnění dat.
Uživatelům je doporučeno zkontrolovat nastavení cloudových záloh, ověřit označená sériová čísla zařízení a provést základní opatření – omezit vzdálený přístup k administraci, vypnout HTTP/HTTPS/SSH management i SSL/IPSec VPN, změnit hesla a TOTP a zkontrolovat logy i poslední změny konfigurace. SonicWall také poskytuje nové konfigurační soubory, které obsahují vygenerovaná náhodná hesla, resetované vazby TOTP a klíče pro VPN.
Incident přichází ve chvíli, kdy skupina Akira pokračuje v útocích na nezáplatovaná zařízení SonicWall prostřednictvím zranitelnosti CVE-2024–40766 (CVSS 9,3). V jiném případě útočníci dokonce využili uniklý textový soubor s recovery kódy k obejití MFA a odstranění bezpečnostního softwaru. Událost tak znovu připomíná, že i záložní a obnovovací mechanismy musí být chráněny se stejnou pečlivostí jako samotné přístupové údaje.
ShinyHunters prý ukradli 1,5 miliardy záznamů ze Salesforce
Skupina ShinyHunters (spojená se Scattered Spider a Lapsus$ pod názvem „Scattered Lapsus$ Hunters“) tvrdí, že ukradla více než 1,5 miliardy záznamů Salesforce od 760 firem pomocí kompromitovaných OAuth tokenů platformy Salesloft Drift, které útočníci získali po napadení GitHub repozitáře Salesloftu.
Data zahrnují mimo jiné záznamy o účtech, kontaktech, příležitostech, uživatelích i zákaznických případech, přičemž část obsahovala citlivé informace, včetně přístupových údajů k dalším službám. Obětí se staly i velké technologické společnosti (např. Google, Cloudflare, Palo Alto Networks). Google a FBI útoky sledují pod označeními UNC6040 a UNC6395 a varují, že útočníci nadále cílí na finanční instituce. Salesforce doporučuje zapnout vícefaktorové ověřování, uplatňovat princip minimálních oprávnění a pečlivě spravovat připojené aplikace.
AI v rukou darebáků
Společnost Kaspersky monitoruje od léta 2025 skupinu označovanou jako TA558. Tato skupina používá phishingové e-maily s motivy faktur k doručování implantátů Venom RAT prostřednictvím JavaScriptu a PowerShellu. Podle společnosti Kaspersky jsou významná část inicializačního kódu infekce i kód pro stažení v této kampani generovány agenty s velkým jazykovým modelem (LLM).
Zdá se, že skript je generován modelem velkého jazyka (LLM), o čemž svědčí jeho silně komentovaný kód a formát podobný těm, které vytváří tento typ technologie,
uvedla společnost. Primární funkcí skriptu je načíst následné skripty, které usnadňují infekci.
Hlavním cílem útoků je získat data o kreditních kartách hostů a cestovatelů uložená v hotelových systémech, stejně jako data o kreditních kartách získaná od populárních online cestovních kanceláří (OTA), jako je Booking.com.
K nárůstu ransomwaru přispívají phishing a sociální inženýrství využívající AI
Acronis zveřejnil výsledky zprávy Acronis Cyberthreats Report za první pololetí 2025, která podrobně popisuje nejčastější vektory hrozeb, aktivní skupiny útočníků a cílená odvětví v první polovině roku 2025.
Ransomware zůstává hlavní hrozbou pro velké a střední podniky, přičemž nové ransomwarové skupiny stále častěji využívají k automatizaci svých aktivit umělou inteligenci – phishing tvořil 25 % všech útoků a 52 % útoků zaměřených na MSP, což představuje nárůst o 22 % ve srovnání s 1. pololetím roku 2024.
Pololetní zpráva pokrývá globální hrozby, které detekovala Acronis Threat Research Unit (TRU) s pomocí senzorů Acronis na koncových zařízeních Windows od ledna do května 2025. Na základě dat z více než 1 000 000 unikátních koncových bodů rozmístěných po celém světě zpráva také zahrnuje statistiky hrozeb zaměřené na operační systémy Windows, vzhledem k jejich převaze oproti MacOS a Linuxu.
Ve zkratce
- Klient PureVPN pro Linux při opětovném připojení k Wi-Fi nebo obnovení systému umožňuje únik IPv6 adres uživatelů a také maže pravidla hostitelského firewallu, aniž by byla po odpojení obnovena.
- Google opravuje zero-day CVE-2025–10585 v prohlížeči Chrome, aktivně zneužívaný exploit ohrožuje miliony uživatelů
- RavenStealer – malware určený pro krádež informací od uživatelů prohlížečů založených na Chromiu, jako jsou Chrome a Edge a další
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
