Geopolitické hry

Holandské úrady vyšetrujú dvoch mužov po zaistení 800 serverov firiem MIRhosting a WorkTitans BV, ktoré mali prevádzkovať infraštruktúru pre ruské kyberútoky a dezinformačné kampane vrátane DDoS útokov na dánske vládne weby počas komunálnych volieb.

Kaspersky odhalil, že čínski útočníci implantovali backdoor do populárneho Windows softvéru Daemon Tools. Malvér úspešne kompromitoval firmy a inštitúcie v Rusku, Bielorusku a Thajsku.

Iniciatíva SecurityBaseline.eu mapuje stav kybernetickej bezpečnosti európskych vlád. Zmapovaním 200 tisíc domén v 32 krajinách iniciatíva odhalila, že viac ako tisíc inštancií phpMyAdmin je verejne dostupných na internete.

Hackeri prenikli do piatich poľských čistiarní odpadových vôd po tom, čo použili defaultné heslá.

Research & Engineering

Výskumník zistil, že Mullvad VPN priraďuje výstupné IP adresy deterministicky podľa WireGuard kľúča namiesto náhodného výberu, čo umožňuje koreláciu identity používateľov s presnosťou nad 99 % naprieč rôznymi servermi. Spoločnosť Mullvad problém uznala a zaviedla protiopatrenia.

Bezpečnostní výskumníci zo spoločnosti Calif v spolupráci s AI modelom Mythos Preview vytvorili za päť dní prvý verejný exploit jadra macOS obchádzajúci ochranu Memory Integrity Enforcement na čipoch Apple M5. Model Mythos taktiež analyzoval 178 000 riadkov C kódu v aplikácii curl a z 5 „potvrdených zraniteľností“ zostala po triáži len 1 skutočná zraniteľnosť. Autor curl Daniel Stenberg označil povesti o nástroji Mythos spoločnosti Anthropic za marketing.

GrapheneOS opravil zraniteľnosť v Androide 16, ktorú Google odmietol opraviť. Funkcia QUIC connection teardown umožňovala aplikáciám obísť VPN ochranu a odosielať nešifrované UDP pakety priamo cez systémový proces. Záplata pre GrapheneOS bola vydaná do týždňa od nahlásenia.

Ryan Miceli podrobne zdokumentoval reverzné inžinierstvo firmvéru viacerých pevných diskov (Western Digital, Samsung, Hitachi) vrátane dešifrovania kompresných rutín a ladenia cez JTAG.

Výskumník zverejnil dva zero-day exploity, YellowKey na odomknutie BitLocker-šifrovaných diskov a GreenPlasma na lokálnu eskaláciu privilégií. YellowKey využíva súbory skopírované na USB kľúč a prístup cez Windows Recovery Environment.

Aikido Security zverejnil zoznam 28 opatrení pre zabezpečenie GitHub Actions pred supply chain útokmi. Kľúčové odporúčania zahŕňajú pinning na SHA commity namiesto mutovateľných tagov, nepoužívanie pull_request_target triggeru vo verejných repozitároch a používanie OIDC namiesto statických tajomstiev.

Novoobjavená linuxová zraniteľnosť Fragnesia umožňuje lokálnu eskaláciu privilégií a je obdobná predchádzajúcim chybám typu dirtyfrag. Proof-of-concept exploit je dostupný na GitHube.

Výskumník ze3tar zverejnil exploit v podsystéme io_uring Linuxu. Zraniteľnosť umožňuje útočníkovi s bežnými oprávneniami získať root prístup.

Synacktiv zverejnil exploit CVE-2026-3555 umožňujúci vzdialené spustenie kódu na Philips Hue Bridge cez Zigbee. Zraniteľnosť dáva útočníkovi v dosahu bezdrôtovej siete plný root prístup k smart home infraštruktúre.

Google zverejnil popis a funkčný exploit k 42 mesiacov neopravenej chybe v Browser Fetch API, ktorá postihuje všetky Chromium-based prehliadače vrátane Edge, Brave a Opera.

Súťaž Pwn2Own Berlin 2026 po prvýkrát zahrnula AI coding agentov a NVIDIA produkty ako súťažné kategórie. Najvyššie odmeny 200 tisíc USD získali exploity pre Microsoft Exchange a VMware ESXi s cross-tenant code execution.

Výskumník odhalil kritické bezpečnostné zraniteľnosti v inteligentnom zvončeku Smart Doorbell X3. Útočník môže bez fyzického prístupu prevziať akékoľvek zariadenie, streamovať video vo videohovore alebo získať WiFi heslo cez debug UART port.

Bezpečnostný výskumník Arkadiy Tetelman opísal, ako fyzicky odstránil modem a GPS antény z Toyoty RAV4 Hybrid 2024.

Zločin a úniky informácií

Podvodníci zneužívajú legitímnu internú e-mailovú adresu Microsoftu na rozosielanie phishingových správ, ktoré vyzerajú ako oficiálne upozornenia na zmeny Microsoft účtu. Problém pretrváva už niekoľko mesiacov.

Útočníci infikovali backdoorom ~700 historických verzií Laravel balíkov (laravel-lang/lang, http-statuses, attributes, actions). Systémy používajúce postihnuté verzie treba považovať za kompromitované a okamžite rotovať všetky secrets.

Spoločnosť GitHub potvrdila supply chain útok skupiny TeamPCP, pri ktorom bolo kompromitovaných 3800 interných git repozitárov po tom, čo si zamestnanec nainštaloval škodlivé VS Code rozšírenie.

Americká FBI zatkla dvoch mužov podľa nového zákona Take It Down Act za predaj nelegálnych AI-generovaných sexuálnych deepfakes.

Ostatné

Pochybená rotácia DNSSEC kľúča správcu .de domén spôsobila výpadok stoviek tisíc DNSSEC-podpísaných .de domén. Séria podobných incidentov vrátane dočasného deaktivovania DNSSEC zo strany Cloudflare odhaľuje priepasť medzi jeho teoretickým prínosom a reálnou prevádzkovateľnosťou.

Desať dní po ransomvérovom útoku, ktorý cez kritickú autentifikačnú chybu kompromitoval 44 000 serverov, vydal cPanel ďalšie tri záplaty vysokej závažnosti, vrátane zraniteľnosti umožňujúcej spustenie ľubovoľného Perl kódu cez API parameter.

Tento newsletter je rozosielaný odberateľom newsletteru kratkespravy.sk, členom Asociácie kybernetickej bezpečnosti a členom ISACA Slovensko.