Po kratšej prestávke sme späť s týždenným výberom toho, čo má zmysel riešiť v patch managemente ako prvé. Tento týždeň je dôležité sústrediť sa na systémy, ktoré sú správcovské alebo prístupné z internetu, a na položky so signálmi aktívneho zneužívania a zaradením do katalógu CISA KEV.
Poradie je podľa rizika v praxi. Zohľadňuje dopad, expozíciu a dostupné informácie o zneužívaní.
P1: Cisco Unified Communications Products (Unified CM a súvisiace) – aktívne zneužívané zero day RCE
Detaily: CVSS 8.2 | CVE-2026-20045 | Cisco Unified Communications Products | Typ: Remote Code Execution cez webové rozhranie správy
Zasiahnuté: Unified CM a súvisiace komponenty podľa Cisco advisory
Prečo je to rizikové:
Cisco potvrdzuje aktívne zneužívanie. Ide o správcovské rozhranie UC platformy, ktorá býva integrovaná do identity a infraštruktúry. Pri kompromitácii je realistický dopad na služby aj na ďalšie pripojené systémy.
Čo spraviť dnes:
- Ako prvé je potrebné identifikovať, či prevádzkujete dotknuté UC komponenty a v akých verziách.
- Následne je potrebné aplikovať opravu podľa Cisco advisory.
- Dočasne obmedziť prístup k webovej správe len na interné správcovské IP rozsahy.
- Preveriť audit a systémové logy na neštandardné požiadavky smerujúce na webové rozhranie.
Zdroje:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
P2: Fortinet FortiOS a FortiProxy – FortiCloud SSO login bypass, pokračujúce zneužívanie
Detaily: CVE-2025-59718 | CVE-2025-59719 | Fortinet FortiCloud SSO | Typ: auth bypass cez SAML odpoveď
Zasiahnuté: viac Fortinet produktov podľa FG-IR-25-647
Prečo je to rizikové:
V praxi ide o správcovský prístup k firewallu alebo proxy. Pri kompromitácii správy zariadenia útočník získa informácie o pravidlách, VPN, routingu a autentifikácii. Aktuálne sú hlásené automatizované útoky a Fortinet publikoval detailnejší popis zneužívania.
Čo spraviť dnes:
- Ako prvé je potrebné zistiť, či máte povolený FortiCloud login a SSO funkcie, a či je správa prístupná z internetu.
- Aplikovať dostupné opravy podľa Fortinet advisory.
- Ak to vaša konfigurácia umožňuje, dočasne vypnúť FortiCloud login podľa odporúčaní Fortinetu.
- Preveriť administrátorské účty a zmeny konfigurácie za posledné dni.
- Sprístupniť správu len z interných správcovských sietí.
Zdroje:
https://www.fortiguard.com/psirt/FG-IR-25-647
https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios
P3: Zimbra Collaboration Suite – LFI na /h/rest, aktívne zneužívanie, v CISA KEV
Detaily: CVSS 8.8 | CVE-2025-68645 | Zimbra ZCS | Typ: Local File Inclusion bez autentifikácie
Zasiahnuté: ZCS 10.0 a 10.1 podľa dostupných advisories
Prečo je to rizikové:
Zraniteľnosť umožňuje neautentifikovanému útočníkovi čítať súbory z WebRoot adresára cez endpoint /h/rest. V praxi to môže znamenať únik konfigurácií a ďalších informácií, ktoré uľahčia ďalšiu kompromitáciu. Zraniteľnosť je zaradená v katalógu CISA KEV.
Čo spraviť dnes:
- Ako prvé je potrebné zistiť, či prevádzkujete Zimbra ZCS a či je webmail prístupný z internetu.
- Aplikovať opravu podľa Zimbra security advisories pre vašu vetvu 10.0 alebo 10.1.
- Dočasne obmedziť prístup k webmailu podľa možností, napríklad cez reverznú proxy s prístupovými pravidlami.
- Preveriť logy na požiadavky smerujúce na /h/rest a na neštandardné čítanie súborov.
Zdroje:
https://nvd.nist.gov/vuln/detail/CVE-2025-68645
https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
P4: Versa Concerto SD-WAN Orchestration – auth bypass, v CISA KEV
Detaily: CVSS 9.2 | CVE-2025-34026 | Versa Concerto SD-WAN Orchestration | Typ: Authentication bypass
Zasiahnuté: Concerto podľa NVD a vendor informácií
Prečo je to rizikové:
Ide o orchestration platformu. Pri auth bypasse je riziko prístupu k administrátorským endpointom a diagnostickým dátam. Zaradenie do CISA KEV je praktický signál, že to má prioritu.
Čo spraviť dnes:
- Ako prvé je potrebné zistiť, či Versa Concerto prevádzkujete a či nie je prístupné z internetu.
- Upgradovať na opravenú verziu podľa vendor informácií.
- Oddeliť správu orchestration platformy do izolovaných správcovských sietí a obmedziť prístupové pravidlá.
- Preveriť prístupy a audit logy, či nie sú známky neštandardnej aktivity.
Zdroje:
https://nvd.nist.gov/vuln/detail/CVE-2025-34026
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
P5: GitLab CE a EE – 2FA bypass, oprava v 18.8.2, 18.7.2, 18.6.4
Detaily: CVSS 7.4 | CVE-2026-0723 | GitLab CE a EE | Typ: bypass dvojfaktorovej autentifikácie
Zasiahnuté: GitLab CE a EE vo verziách 18.6 pred 18.6.4, 18.7 pred 18.7.2, 18.8 pred 18.8.2
Prečo je to rizikové:
GitLab je často centrálna služba pre zdrojové kódy, CI a integračné tokeny. Pri obídení 2FA je riziko prevzatia účtu a následných zmien v repozitároch alebo pipeline.
Čo spraviť dnes:
- Ako prvé je potrebné zistiť, či prevádzkujete self managed GitLab a v akej verzii.
- Upgradovať na 18.8.2, 18.7.2 alebo 18.6.4 podľa vašej vetvy.
- Overiť nastavenia 2FA a prihlásení, najmä pri administrátorských účtoch.
- Ak je GitLab prístupný z internetu, obmedziť prístup aspoň na VPN alebo dôveryhodné IP rozsahy, ak to prevádzka umožňuje.
Zdroje:
https://about.gitlab.com/releases/2026/01/21/patch-release-gitlab-18-8-2-released
https://nvd.nist.gov/vuln/detail/CVE-2026-0723
Tento týždeň má zmysel ísť pragmaticky. Najprv riešte veci, ktoré sú prístupné z internetu a majú priamy dopad na riadiace vrstvy infraštruktúry. Ak máte Cisco Unified CM, Fortinet alebo Zimbru, tam je priorita jasná.
Budúci týždeň pokračujem ďalším výberom. Ak mi pošlete, aké technológie máte v prostredí najčastejšie, viem tomu poradie ešte lepšie prispôsobiť.
