Google vydal májovú bezpečnostnú aktualizáciu pre Android
Spoločnosť Google vydala májové bezpečnostné záplaty pre systém Android, ktoré opravujú celkovo 46 zraniteľností, vrátane jednej vysoko závažnej – CVE-2025–27363, ktorú je možné zneužiť bez interakcie používateľa.
Zraniteľnosť CVE-2025–27363 sa nachádza v open-source knižnici FreeType vo verzii 2.13.0 a nižších, a umožňuje lokálne spúšťanie kódu (Local Code Execution) bez ďalších potrebných oprávnení. Ide o chybu pri spracovaní TrueType GX a iných typov fontových súborov. Zraniteľnosť bola prvýkrát oznámená spoločnosťou Meta v marci 2025 s upozornením na jej možné aktívne zneužívanie.
FreeType je široko používaná knižnica na vykresľovanie fontov, a preto táto zraniteľnosť predstavuje kritickú hrozbu pre zariadenia s Androidom, kde je súčasťou viacerých systémových komponentov.
Okrem tejto chyby boli opravené aj ďalšie zraniteľnosti v Android System a Framework, ktoré môžu viesť k eskalácii oprávnení, úniku informácií alebo odopretiu služby (DoS).
Americké úrady varujú pred útočníkmi zameranými na energetický sektor
Americké agentúry CISA, FBI, EPA a Ministerstvo energetiky (DoE) vydali spoločné varovanie pred kybernetickými útokmi zameranými na infraštruktúru Spojených štátov, najmä na sektor ropy a zemného plynu. Podľa správ ide o menej sofistikovaných útočníkov, ktorí sa zameriavajú na systémy typu ICS/SCADA.
Ako informuje CISA, útočníci zatiaľ využívajú jednoduché a základné techniky, ktorými cielia najmä na slabo zabezpečené prvky infraštruktúry. V prípade, že sa im podarí získať prístup, môže dôjsť k vážnejším následkom, ako sú zmeny konfigurácie, výpadky alebo poškodenie zariadení.
Americké agentúry zdôrazňujú potrebu posilniť kybernetickú bezpečnost v kritickej infraštruktúre. Organizáciám v energetickom a dopravnom sektore odporúčajú prijať preventívne opatrenia na ochranu svojich systémov – vrátane zlepšenia kybernetickej hygiény a obmedzenia prístupu k aktívam.
CISA upozorňuje na riziko neúmyselného zanášania zraniteľností do systémov – či už počas bežnej prevádzky, pri systémových integráciách, alebo prostredníctvom predvolených nastavení od výrobcu. Odborníci preto odporúčajú úzku spoluprácu so všetkými zúčastnenými stranami s cieľom tieto slabiny včas identifikovať a odstrániť.
Polícia odstavila ďalšie DDoS domény a zadržala podozrivých
V rámci medzinárodnej operácie zameranej na boj proti službám poskytujúcim DDoS útoky na objednávku (tzv. booter/stresser) poľská polícia zadržala štyroch podozrivých administrátorov. Zároveň Spojené štáty zhabali deväť domén spojených s týmito nelegálnymi službami. Holandská a nemecká polícia prispeli k vyšetrovaniu poskytnutím kľúčových dôkazov zo zaistených webových stránok, ktoré pomohli identifikovať a zadržať podozrivých.
Tieto služby boli propagované ako legitímne nástroje na testovanie odolnosti systémov, no v skutočnosti umožňovali za poplatok (od 10 €) vykonávať DDoS útoky na zvolené ciele – bez potreby technických znalostí. Útočníkovi stačilo zadať IP adresu cieľa, zvoliť typ a trvanie útoku. Medzi zrušené služby patria napríklad Cfxapi, Cfxsecurity, neostress, jetstress, quickdown a zapcut.
Akcia bola súčasťou dlhodobej iniciatívy známej ako Operation PowerOFF, ktorá bola spustená v decembri 2018. Jej cieľom je potláčať nelegálne DDoS služby a ich poskytovateľov. V minulosti viedla táto operácia k zrušeniu viacerých podobných platforiem a zatknutiu ich prevádzkovateľov.
Ako súčasť preventívnych opatrení vytvorila holandská polícia falošné booter stránky, ktoré upozorňujú potenciálnych zákazníkov na nelegálnosť takýchto služieb a riziko trestného stíhania. Cieľom je odradiť používateľov a zvýšiť poviedomie o právnych dôsledkoch.
Nmap 7.96: Rýchlejšie DNS dotazy, nové skripty a vylepšenia pre Windows
Nmap, populárny nástroj na mapovanie sieťovej infraštruktúry a bezpečnostný audit, vyšiel v novej verzii 7.96, ktorá prináša viacero významných vylepšení.
Medzi hlavné novinky patrí paralelizácia DNS dotazov. Nmap teraz vykonáva forward DNS dotazy paralelne, čo výrazne zrýchľuje skenovanie pomocou hostname. Podľa vývojára Daniela Millera sa v benchmarkoch čas skenovania 1 milióna hostnamov skrátil zo 49 hodín na niečo málo cez jednu hodinu.
Ďalšie vylepšenia zahŕňajú aktualizácie viacerých knižníc vrátane OpenSSL 3.0, Lua 5.4.7, libssh2 1.11.1 a libpcre2 10.45, čo zvyšuje výkon a kompatibilitu s modernými systémami. Do Nmap Script Engine (NSE) pribudli tri nové skripty: Mikrotik RouterOS Version Detection na zistitenie verzie RouterOS na zariadeniach MikroTik, Mikrotik Username Brute-Forcing zneužívajúci zraniteľnosť CVE-2024–54772 a skript Target Generation from MAC Addresses na generovanie cieľov z MAC adries.
Pre používateľov Windowsu prináša nová verzia Nmap aktualizovaný Npcap 1.82, ktorý podporuje rýchlejšie vkladanie paketov, zachytávanie VLAN hlavičiek a kompatibilitu s adaptérmi SR-IOV. Zenmap, grafické rozhranie pre Nmap, dostalo podporu tmavého režimu.
Elastic opravuje dve zraniteľnosti v produktoch Kibana a Logstash
Spoločnosť Elastic vydala bezpečnostné aktualizácie pre svoje produkty Kibana a Logstash, ktoré riešia vážne zraniteľnosti umožňujúce spustenie kódu a potenciálne útoky typu Man-in-the-Middle (MitM).
V Kibane bola identifikovaná kritická zraniteľnosť CVE-2025–25014 typu Prototype Pollution, ktorá autentizovaným používateľom umožňuje spustiť kód zaslaním špeciálne vytvorených HTTP požiadaviek. Zraniteľnosť postihuje verzie 8.3.0 až 8.17.5, ako aj verzie 8.18.0 a 9.0.0, v ktorých sú povolené funkcie Machine Learning a Reporting. Opravené verzie sú 8.17.6, 8.18.1 a 9.0.1. Ak aktualizácia nie je možná, odporúča sa vypnúť jednu z funkcií Machine Learning alebo Reporting
V nástroji Logstash bola objavená zraniteľnosť CVE-2025–37730, ktorá spočíva v nedostatočnom overovaní certifikátov v plugine TCP output pri nastavení ssl_verification_mode => full. Táto chyba môže umožniť útoky typu Man-in-the-Middle, pretože overovanie názvu hostiteľa nebolo správne implementované. Zraniteľnosť postihuje verzie pred 8.17.6, ako aj verzie 8.18.0 a 9.0.0. Oprava bola zahrnutá vo verziách 8.17.6, 8.18.1 a 9.0.1. Ak nie je možná aktualizácia Logstash, odporúča sa aktualizovať TCP output plugin na verziu 6.2.2 alebo 7.0.1 pomocou príkazu bin/logstash-plugin update logstash-output.tcp.
Útok na ransomvérovú skupinu LockBit
Ransomvérová skupina Lockbit, ktorá patrí medzi najaktívnejšie kyberzločinecké gangy posledných rokov, sa sama stala terčom vážneho kybernetického útoku.
Útok zasiahol weby určené na správu partnerov skupiny (tzv. affiliate systém). Obsah webu bol nahradený odkazom s textom: „Don't do crime CRIME IS BAD xoxo from Prague“, ktorý zároveň obsahoval odkaz na stiahnutie súboru paneldb_dump.zip, ktorý údajne obsahuje výpis MySQL databázy.
Analýza zverejnených dát odhalila 20 databázových tabuliek s citlivými informáciami z obdobia medzi decembrom 2023 a aprílom 2024. Medzi nimi sa nachádzajú záznamy o tisícoch bitcoinových adries (pravdepodobne spojené s výkupným), údaje o na mieru vytvorených ransomvéroch, názvoch cieľových organizácií, ako aj technické nastavenia šifrovania (napríklad výnimky alebo preferované typy súborov).
Najzávažnejšou časťou úniku sú však správy z rokovaní medzi LockBitom a ich obeťami – obsahujú výšky požadovaného výkupného, stratégie vyjednávania a v niektorých prípadoch aj dôverné interné informácie napadnutých spoločností. Jedna z databázových tabuliek taktiež obsahuje heslá uložené v plaintexte 75 LockBit administrátorov a ich partnerov. Príklady niektorých hesiel sú „Weekendlover69“, „MovingBricks69420“ alebo „Lockbitproud231“.
Zverejnenie tejto databázy má potenciálne ďalekosiahle dôsledky. Ide nielen o silný reputačný úder pre LockBit, ale aj o cenný zdroj pre bezpečnostné tímy, výskumníkov a orgány činné v trestnom konaní. Únik môže napomôcť pri identifikácií obetí, partnerov útočníkov, ako aj pri pochopení konkrétnych krokov ransomvérových operácií.
Ďalej sa z výpisu z phpMyAdmin SQL zistilo, že server bežal na verzii PHP 8.1.2, ktorá je zraniteľná voči kritickej a aktívne zneužívanej zraniteľnosti CVE-2024–4577. Táto zraniteľnosť môže útočníkovi umožniť vzdialené spustenie kódu (RCE) na serveri.
Zatiaľ nie je známe, kto presne stojí za týmto útokom. Môže ísť o konkurenčnú skupinu, hacktivistov, alebo dokonca o zásah bezpečnostných zložiek v rámci širšej operácie proti ransomvérovým skupinám.
Uskutočnilo sa cvičenie Locked Shields
Minulý týždeň, od 5. do 9. mája, sa usktočnilo každoročné cvičenie kybernetickej bezpečnosti – Locked Shields 2025, pod vedením NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE). Cvičenie má tradíciu už od roku 2010 a pravidelne sa na ňom zúčastňujú zástupcovia z verejného, súkromného aj akademického sektora z približne 40 krajín sveta, vrátane Českej republiky.
Locked Shields patrí medzi najväčšie a najkomplexnejšie cvičenia tohto druhu na svete. Založené je na súperení Red team vs. Blue team, ktoré proti sebe „bojujú“ v realistickej simulácii obrany a útoku na často kritickú infraštruktúru. Okrem technických znalostí a schopností musia účastníci pri svojom rozhodovaní zvládať aj právne či mediálne aspekty incidentov.
Cvičenie takýmto spôsobom preveruje nielen technickú pripravenosť obrancov, ale aj ich schopnosť zvládať krízové situácie v realitickom kontexte moderných kybernetických hrozieb. Viac informácií o cvičení, ako aj o tom, čo si organizátori pre účastníkov pripravili tento rok sa môžete dočítať na ccdcoe.org.
V skratke
- Spoločnosť Microsoft ukončila prevádzku aplikácie Skype
- Únik dát z neoficiálnej verzie aplikácie Signal
- Cisco opravilo 35 zraniteľností vo viacerých produktoch
- Microsoft sa zbavuje prihlasovania pomocou hesiel
Pre pobavenie
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
