P1: Trend Micro Apex Central (on prem, Windows) – neautentifikované RCE ako SYSTEM
Detaily: CVSS 9.8 | CVE-2025-69258 | Trend Micro Apex Central (on prem) | Typ: Remote Code Execution
Zasiahnuté: Apex Central (on prem) verzie pod Critical Patch Build 7190 (Windows)
Prečo je to rizikové:
Apex Central je riadiaca konzola pre Trend Micro produkty. Ak útočník získa RCE ako SYSTEM bez potreby prihlásenia, riziko je kompromitácia celého management servera. Prakticky to znamená možnosť zasahovať do správy bezpečnostných komponentov, manipulovať nastaveniami a získať prístup k údajom, ktoré sa cez konzolu spracúvajú.
Čo spraviť dnes:
- Ako prvé je potrebné identifikovať všetky on prem inštancie Apex Central a overiť build.
- Naplánovať urgentný upgrade na Critical Patch Build 7190 alebo novší.
- Dočasne obmedziť prístup ku konzole len z interných správcovských IP rozsahov.
- Skontrolovať logy a sprísniť monitoring okolo MsgReceiver.exe a neštandardného načítania DLL na serveri.
Zdroje:
Trend Micro bulletin: https://success.trendmicro.com/en-US/solution/KA-0022071
NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-69258
P2: HPE OneView – neautentifikované RCE, evidované zneužívanie
Detaily: CVSS 10.0 | CVE-2025-37164 | HPE OneView | Typ: Unauthenticated RCE
Zasiahnuté: HPE OneView verzie pred 11.0
Prečo je to rizikové:
OneView je centrálna platforma na správu infraštruktúry. Pri kompromitácii nejde o problém jedného servera. Útočník získa prístup k riadiacej vrstve, ktorá vie zasahovať do konfigurácie a správy hardvéru. Pri CVSS 10.0 a evidencii zneužívania je to priorita.
Čo spraviť dnes:
- Ako prvé je potrebné spraviť inventúru a zistiť, či prevádzkujete OneView verzie staršie ako 11.0.
- Aplikovať hotfix alebo upgrade podľa HPE advisory.
- Management rozhranie nesmie byť prístupné z internetu. Prístup povoľte len z izolovaných administrátorských sietí.
- Po oprave preveriť prístupy, tokeny a audit logy, či nie sú známky neštandardnej aktivity.
Zdroje:
HPE advisory: https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us&docLocale=en_US
Rapid7 ETR: https://www.rapid7.com/blog/post/etr-cve-2025-37164-critical-unauthenticated-rce-affecting-hewlett-packard-enterprise-oneview/
NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-37164
P3: macOS Tahoe 26.2 – VoiceOver TCC bypass, prístup k citlivým dátam bez súhlasu
Detaily: CVE-2025-43530 | macOS Tahoe | Typ: Privacy, TCC bypass
Zasiahnuté: macOS verzie staršie ako 26.2
Prečo je to rizikové:
TCC (Transparency, Consent, and Control) je mechanizmus, ktorý má obmedziť prístup aplikácií k citlivým dátam a systémovým schopnostiam. Ak existuje bypass, malvér môže obísť tieto ochrany bez štandardných používateľských výziev. Dopad je najvyšší pri rolách, ktoré pracujú s citlivými dokumentmi a prístupmi, napríklad manažment, financie, právne oddelenie a administrátori.
Čo spraviť dnes:
- Ako prvé je potrebné zistiť, aké verzie macOS máte na spravovaných zariadeniach a čo vynucujú pravidlá v MDM.
- Vynútiť update na macOS 26.2 tam, kde to politika umožňuje.
- Prioritne riešiť zariadenia kľúčových rolí, kde je riziko úniku dát najvyššie.
Zdroje:
Apple security content macOS Tahoe 26.2: https://support.apple.com/sk-sk/125886
NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-43530
P4: Microsoft Office PowerPoint – CVE-2009-0556 je v CISA KEV
Detaily: CVE-2009-0556 | CISA KEV Catalog | Typ: Memory corruption, spustenie kódu po otvorení súboru
Zasiahnuté: PowerPoint 2000 až 2003, Office 2004 pre Mac (legacy)
Prečo je to rizikové:
CISA zaradila túto starú zraniteľnosť do KEV katalógu, čo znamená, že existuje evidencia zneužívania. V praxi to nie je problém moderných Office verzií, ale problém starých inštalácií, ktoré ešte stále môžu existovať v špecifických prostrediach. Útočníkovi stačí dostať používateľa k otvoreniu podvrhnutého PPT súboru.
Čo spraviť dnes:
- Ako prvé je potrebné identifikovať, či sa v sieti ešte nachádzajú nepodporované Office verzie.
- Odstrániť ich, alebo ich aspoň izolovať od internetu a emailu, kým sa nevymenia.
- Na úrovni mailovej brány zvážiť obmedzenie starých formátov .ppt a .pps, ak to prevádzka dovolí.
- Pripomenúť používateľom, že prílohy z neznámych zdrojov sa neotvárajú.
Zdroje:
CISA KEV Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
NVD: https://nvd.nist.gov/vuln/detail/CVE-2009-0556
P5: n8n (self hosted) – zraniteľné form workflow, riziko čítania súborov zo servera
Detaily: n8n security advisory 20260108 | Typ: improper input validation, file system read v konkrétnom scenári
Zasiahnuté: n8n verzie 1.65 až 1.120.4
Oprava: 1.121.0 a novšie
Prečo je to rizikové:
n8n sa často používa na automatizácie s prístupmi do interných systémov. Podľa advisora je inštancia potenciálne zraniteľná, ak má aktívny workflow s Form Submission triggerom, ktorý prijíma súbor, a zároveň Form Ending node vracia binary. V takom prípade môže za určitých podmienok dôjsť k tomu, že útočník vie čítať súbory zo servera v rozsahu práv procesu n8n. Riziko je najmä únik konfigurácií, tokenov a prístupov.
Čo spraviť dnes:
- Ako prvé je potrebné overiť verziu na self hosted inštanciách.
- Upgradovať na 1.121.0 alebo novšiu verziu.
- Skontrolovať, či nepoužívate rizikovú kombináciu form workflow prvkov. Ak áno a upgrade neviete spraviť hneď, dočasne dané workflowy upravte alebo vypnite.
- Ak je formulár prístupný z internetu, sprísnite prístup a pridajte základné obmedzenia, napríklad autentifikáciu a rate limiting, podľa možností.
Zdroje:
n8n advisory: https://blog.n8n.io/security-advisory-20260108/
