Linkedin Youtube

Aktuality z oblasti kybernetické bezpečnosti – LEDEN 2026

/ Nezařazené, prehled-kb-blog, prehled-kb-early / Napsal

LEGISLATIVA A NÁRODNÍ DOPADY

Zahájení projektu Národního koordinačního centra (NCC‑CZ 2.0)

Česká republika zahájila ambiciózní čtyřletý projekt na posílení své kybernetické bezpečnosti. Národní úřad pro kybernetickou bezpečnost (NÚKIB) v lednu 2026 zahájil projekt NCC-CZ 2.0, financovaný z Programu Digitální Evropa. Iniciativa cílí na rozvoj národních kompetencí, podporu zapojení českých subjektů do evropských kybernetických iniciativ a poskytování finanční podpory třetím stranám na projekty zaměřené na vývoj kybernetických nástrojů a vzdělání.

Zdroj: https://nukib.gov.cz/cs/infoservis/aktuality/2363-zahajeni-projektu-national-coordination-centre-2-0-the-czech-republic-ncc-cz-2-0/

Čtvrtletní přehled hrozeb NÚKIB – Q4 2025: Mírný pokles Incidentů, ale rostoucí hrozby ze zahraničí

Česká republika zaznamenala v posledním čtvrtletí roku 2025 pokles evidovaných kybernetických incidentů, především v důsledku nižšího počtu DDoS útoků. Analýza NÚKIB však odhaluje, že se České republice a jejím spojenecům zvyšují hrozby od čínských státem podporovaných skupin, severokorejských hactivistů útočících na obranný průmysl a proruských hacktivistických uskupení. Zvláštní pozornost si zasluží nové špionážní operace proti evropským diplomatům a pokračující ruská dezinformační kampaň zaměřená na ovlivnění voleb.

Zdroj: https://nukib.gov.cz/download/publikace/vyzkum/Ctvrtletni%20prehled%20hrozeb%20pohledem%20NUKIB_Q4%202025.pdf

CISA: seznam kategorií produktů pro přechod na post‑quantum kryptografii (PQC)

CISA vydala seznam kategorií běžně dostupných produktů podporujících PQC standardy (ve spolupráci s NSA) jako praktický podklad pro nákupy a řízení technologické migrace; seznam má být průběžně aktualizován.

Zdroj: https://www.cisa.gov/news-events/news/cisa-releases-product-categories-list-propel-post-quantum-cryptography-adoption-pursuant-president

KRITICKÉ ZRANITELNOSTI

Cisco Unified Communications (Unified CM / Unity Connection / Webex Calling DI)

CVE: 2026-20045

Cisco Unified Communications Manager, která je součástí komunikačních infrastruktur desítek tisíc podniků, je ohrožena kritickou zranitelností s CVSS skóre 8,2. Zranitelnost CVE-2026-20045 umožňuje neověřeným útočníkům spustit libovolné příkazy se zvýšenými oprávněními (root) prostřednictvím upravených HTTP požadavků na web management interface. Cisco potvrdila aktivní exploataci v divočině a vydala bezpečnostní opravy, ale mnoho organizací zůstává bez ochrany. Zranitelnost postihuje Cisco Unified CM, Webex Calling Dedicated Instance a Unity Connection.

Zdroj: https://thehackernews.com/2026/01/cisco-fixes-actively-exploited-zero-day.html

Cisco Secure Email Gateway / Secure Email & Web Manager (AsyncOS)

CVE: 2025-20393

Maximálně závažná zranitelnost v Cisco AsyncOS (funkce Spam Quarantine) umožňuje vzdálenému útočníkovi díky nedostatečné validaci HTTP požadavků provést spuštění libovolných systémových příkazů s root oprávněními. Protože jde o e-mail security appliance, je dopad typicky dvojí: kompromitace bezpečnostního prvku a zároveň potenciální přístup k tokům e-mailů / konfiguracím / integracím. CISA ji zařadila do KEV (tj. potvrzená exploatace v praxi), což z ní dělá vysoce publikovatelný případ i jasnou prioritu pro okamžitou nápravu a ověření, zda už nedošlo ke kompromitaci.

Zdroj: https://www.cve.org/CVERecord?id=CVE-2025-20393

Microsoft Office Zero-Day bezpečnostního obejití OLE

CVE: 2026-21509

Microsoft vydal nouzové out-of-band bezpečnostní opravy pro kritickou zranitelnost v Microsoft Office, která obchází základní bezpečnostní mechanismy a umožňuje útočníkům spustit libovolný kód prostřednictvím upravených dokumentů. Zranitelnost s CVSS skóre 7,8 je aktivně zneužívána v cílených útocích a ohrozuje miliardy uživatelů Microsoft Office. Útok vyžaduje pouze to, aby uživatel otevřel maliciózní dokument – bez varování o makrech či nutnosti aktivace obsahu.
Zdroj: https://nvd.nist.gov/vuln/detail/CVE-2026-21509

n8n Workflow Automation (Ni8mare) – Unauthenticated RCE s plným převzetím serveru

CVE: 2026-21858

Cyera Research Labs odhalila maximálně závažnou zranitelnost (CVSS 10,0) v populární open-source platformě n8n pro automatizaci pracovních toků. Zranitelnost CVE-2026-21858, kterou přezdívají „Ni8mare“, umožňuje útočníkům bez jakýchkoliv přihlašovacích údajů plně převzít self-hosted n8n instance a získat přístup ke všem integrovaným systémům, API klíčům, a datům. Chyba ve zpracování Content-Type hlaviček v webhook endpointech umožňuje čtení libovolných souborů ze serveru, falšování administrátorských relací, a spuštění libovolného kódu. 

Zdroj: https://nvd.nist.gov/vuln/detail/CVE-2026-21858

INCIDENTY, KAMPANĚ A TRENDY

Kimwolf Botnet – Masivní infekce 2+ milionů Android zařízení prostřednictvím proxy supply chain

Botnet Kimwolf se v posledních měsících stal jedním z největších botnetů historie, infikující přes 2 miliony Android zařízení – především levné Android TV streaming boxy a IoT zařízení. Botnet se šíří primárně prostřednictvím supply chain zranitelností v ekosystému residential proxy služeb (IPIDEA, PYPROXY) a vede k masivní kompromitaci infrastruktury, která se pronajímá tisícům korporací pro legitimní i nelegitimní účely. Botnet kombinuje DDoS kapacity (1.7 miliard příkazů za tři dny) s proxy monetizací, čímž vytváří hybridní hrozbu: útočníci nejen ovládají botnet, ale také zpeněžují infikovaná zařízení pronajímáním proxy služeb. Incident odhaluje systémovou zranitelnost „šedého trhu“ proxy ekosystému, kde se hranice mezi legitimní a nelegitimní infrastrukturou rozmazávají.

Zdroj: https://thehackernews.com/2026/01/kimwolf-botnet-infected-over-2-million.html

Útok na polskou energetiku – kompromitace OT systémů ~30 lokalit

Ruská státem podporovaná hackerská skupina Sandworm (APT44) provedla na konci prosince 2025 rozsáhlý kybernetický útok na polskou energetickou infrastrukturu, zaměřující se na dvě teplárny a systémy řízení obnovitelné energie. Útok využíval nový destruktivní malware s příznačným názvem DynoWiper, který byl určen k permanentnímu poškození fyzických systémů. Ačkoliv se útok nepovedl, jedná se o signifikantní eskalaci – přechod od prosté kompromitace k destruktivním viper technologiím. Incident má hlubší symboliku: odehrál se přesně deset let poté, co Sandworm provedla první známý kybernetický útok na elektrizační síť v Evropě, kterým vypnula elektřinu pro 230 tisíc Ukrajinců.

Zdroj: https://therecord.media/poland-electrical-grid-cyberattack-30-facilities-affected

Law-enforcement: RAMP forum „seized“ – zásah do ekosystému ransomware a initial-access brokerů

The Record popisuje, že weby ruského kyberkriminálního fóra RAMP byly nahrazeny stránkou deklarující zabavení FBI. I když se řeší autenticita a detaily akce, dopad je potenciálně velký: RAMP bylo tržiště pro ransomware ekosystém a initial-access brokery, takže podobné zásahy typicky způsobují přesuny komunit, změny TTP/OPSEC a krátkodobé turbulence na „trhu přístupů“. Pro obránce je to důležité i kvůli očekávatelnému nárůstu re-brandů a migrací na alternativní platformy.

Zdroj: https://www.computerweekly.com/news/366637992/RAMP-ransomware-forum-goes-dark-in-probable-FBI-sting