Nové zranitelnosti v katalogu CISA KEV – vydání 18b
Americká agentura CISA zařadila do katalogu aktivně zneužívaných zranitelností (KEV) další dvě položky. Týkají se softwaru ConnectWise ScreenConnect pro vzdálenou podporu a komponenty Windows Shell v operačních systémech Microsoft.
První přírůstek je CVE-2024-1708, path traversal v ConnectWise ScreenConnect. Tento nástroj pro vzdálenou IT podporu obsahuje chybu, která útočníkovi umožňuje spustit vzdáleně kód nebo přímo zasáhnout do důvěrných dat a souvisejících systémů. Zranitelnost spadá pod CWE-22 (improper limitation of a pathname to a restricted directory) a v praxi otevírá cestu k převzetí kontroly nad serverem ScreenConnect, který obvykle slouží jako centrální bod pro vzdálenou správu klientských počítačů a serverů. Záplata je k dispozici – ConnectWise problém adresoval bezpečnostní aktualizací popsanou v bulletinu pro verzi 23.9.8 (security bulletin connectwise-screenconnect-23.9.8). Provozovatelé samostatně hostovaných instancí ScreenConnect by měli verzi ověřit a aktualizaci aplikovat ihned, případně omezit síťovou dostupnost serveru jen na potřebné techniky a podpůrné týmy. Zákazníci využívající cloudovou variantu se řídí pokyny dodavatele.
Druhou položkou je CVE-2026-32202, protection mechanism failure ve Windows Shell. Zranitelnost umožňuje neautorizovanému útočníkovi provádět spoofing po síti, tedy vydávat se za jinou entitu způsobem, který selhání ochranného mechanismu nedokáže odhalit. Podle klasifikace patří chyba pod CWE-693 (protection mechanism failure). Postiženy jsou desktopové i serverové instalace systému Windows. Microsoft k zranitelnosti vydal opravu v rámci aktualizací distribuovaných standardními kanály – konkrétní pokyny jsou ve Microsoft Security Response Center pod kódem CVE-2026-32202. Pro správce vystavených stanic, terminálových serverů i pracovišť, ze kterých se přistupuje do citlivých sítí, je instalace záplaty bez prodlení tou nejjistější obranou. Z hlediska monitoringu má smysl sledovat anomálie v autentizačních tocích a v komunikaci na sdílené síťové prostředky.
CISA u obou zranitelností stanovila datum nápravy na 12. května 2026. Zařazení do katalogu KEV znamená, že chyby jsou potvrzeně aktivně zneužívány v reálných útocích. U ScreenConnect jde o produkt, kterým útočníci v posledních letech opakovaně získávali oporu při ransomwarových operacích, využívání vazby Volt Typhoon na podobné nástroje pro vzdálený přístup je dobře dokumentováno. U Windows Shell se vada týká platformy s rozsáhlou instalovanou bází napříč veřejnou správou i průmyslem.
Pro evropské správce odpovídající za bezpečnost kritických infrastruktur i běžných firemních sítí platí, že položky v katalogu KEV představují potvrzené aktivní zneužívání ve světě. Subjekty regulované NIS2 by tyto zranitelnosti měly řešit s podobnou prioritou jako americké úřady – zveřejnění v KEV je signál, že útočníci je už používají. U produktů pro vzdálenou správu (ScreenConnect, ale i obdobné nástroje typu SimpleHelp, který do KEV přibyl o čtyři dny dříve) je vhodné posílit i kompenzační opatření: omezit přístup k administračním rozhraním na konkrétní IP rozsahy, nasadit vícefaktorovou autentizaci a sledovat odchylky v chování technických účtů.
Další články
Polsko-český tým s podporou NÚKIB obsadil čtvrté místo na cvičení Locked Shields 2026
Nové zranitelnosti v katalogu CISA KEV – vydání 18b
