Je to obrázek, nebo virus?
Společnost Meta v čerstvě vydaném varování vyzývá uživatele aplikace WhatsApp pro Windows, aby ji aktualizovali na nejnovější verzi. Důvodem je nově objevená zranitelnost, která útočníkům umožňuje posílat speciálně upravené soubory. Útočník by mohl zneužít tuto zranitelnost zasláním souboru s falešným MIME typem ve snaze uživatele přesvědčit, že jde o bezpečný soubor (například obrázek), zatímco jeho otevřením by se ve skutečnosti spustil vykonatelný, potenciálně škodlivý kód.
Problém spočívá v tom, že aplikace ve zranitelných verzích zobrazuje přílohy podle jejich MIME typu, ale pro otevření takového souboru vybírá program podle jeho přípony. Tuto chybu objevil externí výzkumník a nahlásil ji prostřednictvím programu Meta Bug Bounty. Zatím nejsou známy případy, kdy by byla zranitelnost s přiřazeným označením CVE-2025–30401 zneužita v praxi.
Nejde o první výskyt podobné slabiny. Již v červenci 2024 byla například ve WhatsAppu opravena chyba, která umožňovala spouštění příloh obsahujících Python skripty a PHP, a to při jejich otevření na zařízeních s nainstalovaným Pythonem. Předtím se obdobná situace vyskytla u desktopové verze aplikace Telegram. To pravděpodobně svědčí o lákavosti desktopového prostředí, kde jsou s větší pravděpodobností a snadněji dostupné interprety skriptovacích jazyků, pro aktéry s nečistými úmysly. Stejně tak i samotný WhatsApp je a zůstává i nadále prominentním cílem útoků.
AkiraBot aneb spam na míru vašemu webu
Nový nástroj spammerů, který využívá prvky umělé inteligence, se podle čerstvě zveřejněné zprávy bezpečnostních výzkumníků společnosti SentinelOne jmenuje AkiraBot. Umožňuje automaticky zasílat velké množství zpráv na kontaktní formuláře, do komentářových sekcí a dialogových nástrojů webových stránek zejména menších společností, přičemž textace, které generuje, jsou vysoce personalizované. Jejich cílem je propagovat pochybné služby v oblasti optimalizace pro vyhledávače (SEO), jako jsou Akira a ServicewrapGO.
Pro úpravu těchto zpráv a jejich zasazení do kontextu příslušného webu bot využívá jazykový model od OpenAI, s nímž komunikuje pomocí API. Výzkumníci v podrobné zprávě uvádějí, že vstupem pro spamovací kampaně je obecná šablona zpráv, které mají být šířeny. Ta je následně formou „promptu“ přes rozhraní OpenAI API předložena jazykovému modelu, aby text přizpůsobil a upravil do podoby odpovídající obsahu cílového webu.
Díky tomu, a také díky napodobování chování legitimních uživatelů, dokáže bot obcházet běžné spamové filtry, a navíc je schopen překonat ochrany typu CAPTCHA. Kromě toho se vyhýbá detekci na síťové úrovni tím, že využívá proxy služby běžně používané pro reklamní účely. AkiraBot si také zaznamenává svoji činnost v souboru submissions.csv, který obsahuje jak úspěšné, tak neúspěšné pokusy. Data mj. o úspěšnosti při obcházení CAPTCHA a použitých proxy serverech se následně odesílají prostřednictvím API na Telegramový kanál.
Analýza výše zmíněných logů ukázala, že od září 2024 AkiraBot údajně úspěšně spamoval více než 80 000 z 420 000 webů, na něž s pomocí jmenovaného nástroje škodliví aktéři celkem cílili. Zpočátku nástroj fungoval pod názvem Shopbot – pravděpodobně kvůli tomu, že cílil primárně na weby běžící na platformě Shopify. Postupně však rozšířil svůj záběr na weby vytvořené pomocí GoDaddy, Wix, a Squarespace. Dále také ale i na weby, které používají obecně dostupné a rozšířené softwarové moduly pro kontaktní formuláře nebo obdobné prvky pro dialog v reálném čase (live chat widgety jako Reamaze).
Společnost OpenAI v reakci na tyto aktivity deaktivovala použitý API klíč a další související prostředky útočníků. Výzkumníci SentinelOne konstatují silnou motivaci autorů, kteří „investovali značné úsilí do schopnosti tohoto nástroje obcházet běžně používané technologie CAPTCHA. Použití LLM pro generování spamu poukazuje na nové výzvy, které AI přináší při ochraně webů proti spamovým útokům“.
O pravdivosti jejich slov svědčí nedávný objev jiného kyberkriminálního nástroje nazvaného Xanthorox AI, který je nabízen jako komplexní bot schopný generování kódu, vývoje malwaru, zneužívání zranitelností a analýzy dat. Xanthorox AI využívá pět samostatných jazykových modelů, z nichž každý je optimalizovaný pro specifické účely. Tyto modely běží výhradně na privátních serverech, nikoli na veřejné cloudové infrastruktuře, a nepožívají veřejná API. To výrazně snižuje šance na jejich odhalení nebo i jen monitorování jejich činnosti.
Zranitelnost v pluginu OttoKit (SureTriggers) pro WordPress
Nově odhalená bezpečnostní slabina v pluginu OttoKit (dříve SureTriggers) se stala terčem aktivního zneužívání krátce po jejím zveřejnění. Tato chyba, označená jako CVE-2025–3102 s hodnocením CVSS 8.1, spočívá v možnosti obejít autentizaci a neoprávněně vytvořit administrátorské účty. Ve zranitelných instalacích tak útočníci mohou získat plnou kontrolu nad napadenými webovými stránkami běžícími na WordPressu.
Zranitelnost vychází z nedostatečného ověření vstupu hodnoty „secret_key“ ve funkci „autheticate_user“ ve všech verzích pluginu do verze 1.0.78 včetně. Jak uvádí bezpečnostní analytik István Márton z Wordfence, chyba se projeví pouze v případech, kdy je plugin aktivován, ale není nakonfigurován s platným API klíčem. Díky tomu mohou neoprávnění útočníci vytvořit libovolný administrátorský účet a pak pokračovat v další škodlivé aktivitě.
Po úspěšném zneužití si útočníci mohou nainstalovat vlastní pluginy, vkládat škodlivý obsah, přesměrovávat návštěvníky na podezřelé weby nebo provádět další škodlivé akce. Podle bezpečnostní společnosti Patchstack se útočníci v praxi snaží hromadně vytvářet administrátorské účty, přičemž si generují náhodné uživatelské jméno, heslo i e-mail. V současné době byly pokusy o útok zaznamenány ze dvou IP adres (2a01:e5c0:3167::2 a 89.169.15.201).
Objev zranitelnosti ohlásil bezpečnostní výzkumník Michael Mazzolini (známý jako mikemyers) 13. března 2025. Oprava byla vydána v rámci pluginu OttoKit ve verzi 1.0.79 dne 3. dubna 2025. Majitelům webů s WordPressem se důrazně doporučuje provést co nejdříve aktualizaci, zkontrolovat seznam uživatelských účtů a odstranit případné podezřelé admin profily. Tato opatření by měla výrazně snížit riziko zneužití uvedené chyby a maximalizovat bezpečnost celého systému.
Kritická zranitelnost v zařízeních FortiSwitch
Společnost Fortinet vydala bezpečnostní záplaty pro kritickou zranitelnost ve svých zařízeních FortiSwitch, která útočníkům umožňuje vzdáleně měnit hesla administrátorů. Tato chyba s označením CVE-2024–48887 (CVSSv3 9.8) byla objevena přímo uvnitř týmu pro vývoj webového rozhraní FortiSwitch a spočívá v absenci ověřování platnosti požadavků při změně hesla ve webové administraci.
Podle Fortinetu lze chybu aktivně zneužít pomocí speciálně připraveného požadavku směrovaného na koncový bod „set_password“. To znamená, že se útočník vůbec nemusí autentizovat, aby heslo změnil. Zranitelnost se vyskytuje ve verzích FortiSwitch od 6.4.0 až po 7.6.0 včetně. Záplaty jsou k dispozici v následujících verzích: 6.4.15, 7.0.11, 7.2.9, 7.4.5 a 7.6.1.
Podle společnosti Censys je aktuálně na internetu dostupných 864 zařízení FortiSwitch, ale není jasné, kolik z nich bylo již aktualizováno. Pokud správci nemohou bezpečnostní opravy okamžitě nasadit, Fortinet doporučuje deaktivovat možnost HTTP/HTTPS přístupu v administraci nebo omezit přístup pouze na důvěryhodné IP adresy. Tím se dočasně sníží riziko útoků, dokud není provedena plnohodnotná aktualizace.
Fortinet současně vydal opravy i pro další chyby, včetně OS command injection (CVE-2024–54024) postihující FortiIsolator a zranitelnosti ve službách FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice či FortiWeb (CVE-2024–26013 a CVE-2024–50565). Produkty Fortinet se stávají častým terčem útoků, a to i prostřednictvím tzv. zero-day exploitů. Proto je klíčové udržovat systémy aktualizované.
Ve zkratce
- Nedostatečná záplata v NVIDIA Toolkitu: CVE-2024–0132 otevírá cestu k „úniku z kontejneru“
- CISA upozorňuje na slabinu v CentreStacku s „hard-coded“ MachineKey, která otevírá dveře k RCE útokům
- Microsoft opravuje 125 zranitelností včetně aktivně zneužívané chyby ve Windows CLFS
- Provoz senzorového giganta Sensata byl narušen ransomwarovým útokem
- Bezpečnostní aktualizace Androidu řeší dvě zneužívané zranitelnosti
Pro pobavení
Když musím otevřít Správce úloh a zabít Správce úloh
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
