Aj tento týždeň dominujú hrozby v infraštruktúrnych nástrojoch a riadiacich systémoch. Ak útočník zasiahne komunikačnú platformu, nástroj na správu IT požiadaviek alebo automatizačný server, získava priamy prístup k citlivým tokom dát a identitám v organizácii. Riziko sa presúva od koncových staníc hlbšie do vnútornej správy a vývojových prostredí.

Nižšie je výber Top 5 patch priorít. Poradie je zostavené podľa praktickej rizikovosti, prístupnosti z internetu, dopadu a signálov o zneužívaní.

P1: Cisco Unified Communications Products – neautentifikované RCE (aktívne zneužívané)

• Detaily: CVSS 8.2 | CVE-2026-20045 | Cisco | Typ: OS Command Injection
• Zasiahnuté: Unified CM, Unified CM SME, Cisco Unity Connection a Webex Calling Dedicated Instance.
• Prečo je to rizikové: Zraniteľnosť v HTTP požiadavkách na manažment rozhranie umožňuje útočníkovi spustiť príkazy s právami roota bez prihlásenia. CISA pridala túto chybu do KEV katalógu s urgentným termínom na opravu, keďže ide o kľúčovú komunikačnú infraštruktúru, ktorá je často vystavená sieťovému prístupu.
• Čo spraviť dnes:
  1. Identifikovať všetky inštancie Cisco Unified CM a súvisiacich produktov.
  2. Okamžite nasadiť záplaty podľa advisora Cisco, prioritne na systémy prístupné z externého prostredia.
  3. Obmedziť prístup k webovému manažmentu len na dôveryhodné administrátorské IP adresy.

P2: SolarWinds Web Help Desk – kritické RCE cez deserializáciu (aktívne zneužívané)

• Detaily: CVSS 9.8 | CVE-2025-40551 | SolarWinds | Typ: Deserialization of Untrusted Data
• Zasiahnuté: SolarWinds Web Help Desk (WHD) do verzie 12.8.3 Hotfix 2.
• Prečo je to rizikové: WHD obsahuje kritické informácie o incidentoch a konfiguráciách. Táto chyba umožňuje vzdialené spustenie kódu na hostiteľskom stroji. CISA ju zaradila do KEV začiatkom februára, čo potvrdzuje prebiehajúce útoky. Kompromitácia helpdesku znamená pre útočníka prístup k databáze znalostí a tiketom celej firmy.
• Čo spraviť dnes:
  1. Preveriť verziu prevádzkovaného SolarWinds WHD a okamžite aplikovať dostupný Hotfix.
  2. Skontrolovať logy na prítomnosť neobvyklých volaní smerujúcich na aplikačný server.
  3. Ak nie je možný okamžitý patch, izolovať server od internetu a obmedziť prístup v rámci internej siete.

P3: n8n Workflow Automation – kritická chyba v spracovaní workflow

• Detaily: CVSS 9.8 | n8n Platform | Typ: Unauthenticated Remote Code Execution
• Zasiahnuté: n8n platforma v starších verziách (podľa februárového advisora).
• Prečo je to rizikové: n8n sa používa na automatizáciu biznis procesov a má prístup k API mnohých služieb (SSO, DB, CRM). Kritická zraniteľnosť umožňuje útočníkovi prevziať kontrolu nad automatizačným serverom, čím získa prístup k integrovaným tokenom a povereniam.
• Čo spraviť dnes:
  1. Spraviť inventúru n8n inštancií, najmä ak bežia ako self-hosted riešenia.
  2. Aktualizovať n8n na najnovšiu stabilnú verziu uvoľnenú vo februári 2026.
  3. Preveriť oprávnenia, ktoré má n8n server pridelené v rámci cloudových a interných systémov.

P4: React Native Community CLI – OS Command Injection (v CISA KEV)

• Detaily: CVSS 8.8 | CVE-2025-11953 | React Native | Typ: Command Injection
• Zasiahnuté: Vývojárske prostredia používajúce React Native Community CLI.
• Prečo je to rizikové: Útočník môže poslať škodlivé POST požiadavky na Metro Development Server, čo vedie k spusteniu ľubovoľného kódu na stroji vývojára. CISA zaradila túto chybu do KEV 5. februára. Ide o útok na dodávateľský reťazec (supply chain), kde kompromitácia vývojára vedie k prieniku do zdrojového kódu aplikácií.
• Čo spraviť dnes:
  1. Zabezpečiť, aby vývojárske tímy aktualizovali CLI nástroje na bezpečné verzie.
  2. Vynútiť sieťovú izoláciu vývojárskych nástrojov (Metro server by nemal byť prístupný mimo localhost).
  3. Preveriť politiky bezpečnosti na koncových zariadeniach vývojárov.

P5: Notepad++ Supply Chain Compromise – zneužitie aktualizačnej infraštruktúry

• Detaily: Supply Chain Attack | Notepad++ | Typ: Traffic Interception
• Zasiahnuté: Inštalácie aktualizované v špecifickom období (podrobnosti zverejnené 02.02.2026).
• Prečo je to rizikové: Notepad++ zverejnil detaily o kompromitácii svojej aktualizačnej infraštruktúry. Útočníci dokázali presmerovať update prevádzku a podstrčiť škodlivý kód. Keďže ide o jeden z najrozšírenejších nástrojov u administrátorov, dopad na privilegované identity je vysoký.
• Čo spraviť dnes:
  1. Overiť integritu inštalácií Notepad++ v prostredí podľa indikátorov kompromitácie (IoC) od vendora.
  2. Aktualizovať na najnovšiu verziu stiahnutú z overeného zdroja po incidente.
  3. Zvážiť centrálnu distribúciu tohto typu softvéru namiesto individuálnych aktualizácií používateľmi.

Zhrnutie a odporúčaný postup

Tento týždeň by som postupoval takto. Najprv Cisco Unified a SolarWinds, keďže ide o kritické systémy pod aktívnym útokom s vysokým CVSS. Potom n8n z dôvodu rizika úniku kľúčov k ďalším systémom. React Native a Notepad++riešte v rámci bezpečnosti vývojárskeho a administratívneho cyklu, aby ste predišli prieniku cez dodávateľský reťazec.

Zdroje a technické detaily:

• Cisco CVE-2026-20045: Cisco Advisory
• SolarWinds CVE-2025-40551: SolarWinds Trust Center
• n8n Security Advisory: n8n Security Blog
• React Native CVE-2025-11953: CISA KEV
• Notepad++ Supply Chain: Notepad++ Official