Tento týždeň je o tom, že útočníci tlačia na nástroje, ktoré majú prirodzene vysoké oprávnenia a často aj prístupné rozhrania. Najväčšie riziko je kombinácia: verejne dostupná správa alebo remote support, kritická chyba a krátke okno na zneužitie.
Nižšie je výber Top 5 patch priorít. Poradie je zostavené podľa praktickej rizikovosti, prístupnosti z internetu, dopadu a signálov o zneužívaní.
P1: BeyondTrust Remote Support / Privileged Remote Access – neautentifikované RCE (už pozorované útoky)
Detaily: CVSS 9.9 | CVE-2026-1731 | BeyondTrust | Typ: OS command injection, pre-auth RCE
Zasiahnuté: BeyondTrust Remote Support a staršie Privileged Remote Access verzie podľa vendor patchovania
Prečo je to rizikové: Ide o remote support a privileged access nástroj. Ak je prístupný z internetu, kompromitácia je typický “rýchly vstup” a následne pohyb do domény. watchTowr a ďalšie zdroje uvádzajú pozorované zneužívanie krátko po zverejnení a dostupnosti PoC.
Čo spraviť dnes:
- Ako prvé je potrebné zistiť, či je RS alebo PRA prístupné z internetu a ak áno, dočasne obmedziť prístup len na administrátorské siete alebo cez VPN.
- Ako prvé je potrebné nasadiť BeyondTrust patch pre zasiahnuté vetvy podľa vendor inštrukcií a overiť verziu po upgrade.
- Ako prvé je potrebné preveriť logy a nové účty alebo zmeny konfigurácie v čase od zverejnenia chyby.
P2: Microsoft Configuration Manager (SCCM) – neautentifikovaná SQL injection, v KEV (prakticky eskaluje na RCE)
Detaily: CVSS 9.8 | CVE-2024-43468 | Microsoft | Typ: SQL injection, KEV signál
Zasiahnuté: Microsoft Configuration Manager role, ktoré vystavujú zasiahnuté endpointy podľa NVD a exploit popisu
Prečo je to rizikové: Aj keď bola oprava vydaná v minulosti, teraz je to v kontexte aktívneho zneužívania a KEV signálu. SCCM má vysoké oprávnenia a prístup k veľkej časti flotily zariadení. SQLi je v praxi typicky krok k príkazom na serveri.
Čo spraviť dnes:
- Ako prvé je potrebné identifikovať, či máte SCCM Management Point alebo iné dotknuté role prístupné z menej dôveryhodných sietí.
- Ako prvé je potrebné overiť, že máte nasadenú opravu pre CVE-2024-43468 na relevantných verziách.
- Ako prvé je potrebné obmedziť prístup na SCCM webové rozhrania a roly len z administrátorských sietí a zapnúť detailnejší monitoring neštandardných requestov.
P3: Microsoft Patch Tuesday (február 2026) – 6× zero-day zneužívaných v praxi
Detaily: 6 zneužívaných zero-day v jednom balíku | Windows, Word, MSHTML, DWM, RDS | Microsoft
Kľúčové CVE z balíka (výber):
- CVE-2026-21510 Windows Shell security feature bypass (zneužívané)
- CVE-2026-21513 MSHTML security feature bypass (zneužívané)
- CVE-2026-21514 Microsoft Word security feature bypass (zneužívané)
- CVE-2026-21519 DWM EoP (zneužívané)
- CVE-2026-21533 RDS EoP (zneužívané)
Prečo je to rizikové: Je to “balík”, ktorý reálne znižuje prah útoku, najmä cez obídenie ochranných mechanizmov a následnú eskaláciu práv. Keď máte v rovnakom mesiaci viac zneužívaných zero-day, priorita je jasná pre endpointy aj servery.
Čo spraviť dnes:
- Ako prvé je potrebné nasadiť februárové kumulatívne aktualizácie na Windows, prioritne na zariadenia s prístupom k e-mailu a webu a na admin stanice.
- Ako prvé je potrebné overiť, že máte pokryté aj Office aktualizácie tam, kde používate Word mimo M365 automatických update kanálov.
- Ako prvé je potrebné skontrolovať, či EDR nezachytáva podozrivé .lnk a HTML artefakty, ktoré sa viažu na bypass scenáre v Shell a MSHTML.
P4: Fortinet FortiClientEMS – kritická SQL injection, neautentifikované vykonanie kódu
Detaily: CVSS 9.1 (NVD) | CVE-2026-21643 | Fortinet | Typ: SQL injection, pre-auth
Zasiahnuté: FortiClientEMS 7.4.4 podľa vendor advisory
Prečo je to rizikové: EMS je centrálne riadenie endpointov. Ak je jeho web rozhranie dostupné z nevhodných sietí, zneužitie má dopad na správu klientov a potenciálne aj distribúciu zmien.
Čo spraviť dnes:
- Ako prvé je potrebné overiť, či FortiClientEMS nie je dostupný z internetu alebo z používateľských sietí, kde to nemá byť.
- Ako prvé je potrebné aktualizovať na opravenú verziu podľa Fortinet PSIRT a overiť, že GUI beží na bezpečnej verzii.
- Ako prvé je potrebné zmeniť prístupové údaje a API kľúče, ak máte podozrenie na expozíciu rozhrania.
P5: n8n workflow automation – kritické RCE cez workflow expression (PoC dostupné)
Detaily: CVSS 9.4 | CVE-2026-25049 | n8n | Typ: OS command execution cez workflow parametre
Zasiahnuté: n8n pred 1.123.17 a 2.5.2 podľa NVD a security bulletinov
Prečo je to rizikové: n8n typicky drží tokeny, API kľúče a prístupy do ďalších systémov. Aj keď ide o scenár viazaný na oprávnenia tvorby workflow, v praxi to často znamená “admin v automatizácii” a následne kompromitácia hosta. PoC zvyšuje riziko rýchlej weaponizácie.
Čo spraviť dnes:
- Ako prvé je potrebné spraviť inventúru n8n inštancií, hlavne self-hosted.
- Ako prvé je potrebné aktualizovať na opravené verzie a následne revidovať prístupové roly, kto môže vytvárať a upravovať workflow.
- Ako prvé je potrebné rotovať citlivé integrácie a kľúče, ak n8n beží v prostredí s väčšími oprávneniami.
Zhrnutie a odporúčaný postup
Tento týždeň by som postupoval takto. Najprv BeyondTrust, ak ho máte, lebo ide o najkratšie okno medzi zverejnením a zneužívaním. Následne SCCM, ak je v prostredí, lebo dopad je organizačne veľký. Paralelne rozbehnúť Microsoft februárové aktualizácie na endpointoch. Potom FortiClientEMS a nakoniec n8n, s dôrazom na inventúru a kontrolu oprávnení.
