Americká agentúra pre kybernetickú bezpečnosť Cybersecurity and Infrastructure Security Agency (CISA) vydala mimoriadnu smernicu, ktorá nariaďuje federálnym úradom okamžite riešiť kritickú zraniteľnosť v systémoch správy firewallov od spoločnosti Cisco Systems. Dôvodom sú prebiehajúce kybernetické útoky zamerané na vládnu a podnikovú infraštruktúru.
Kritická chyba v Cisco firewalloch
Zraniteľnosť evidovaná ako CVE-2026-20131 ovplyvňuje platformu Cisco Secure Firewall Management Center (FMC), ktorá slúži na centralizovanú správu bezpečnostných prvkov – firewallov, detekcie narušenia či ochrany pred malvérom.
Keďže ide o centrálny riadiaci systém bezpečnosti, jeho kompromitácia môže útočníkom poskytnúť rozsiahlu kontrolu nad celou sieťou.
Maximálne riziko bez možnosti náhrady
Cisco upozornilo na chybu už 4. marca a pridelilo jej najvyšší stupeň závažnosti. Problém spočíva v tzv. nebezpečnej deserializácii dát v webovom rozhraní.
Útočník môže zaslaním špeciálne upravenej požiadavky:
- spustiť ľubovoľný Java kód
- získať root oprávnenia
- plne ovládnuť zariadenie
Situáciu zhoršuje fakt, že:
- útok nevyžaduje autentifikáciu
- neexistujú žiadne dočasné riešenia (workaroundy)
- jedinou ochranou je okamžitá aktualizácia
Zraniteľnosť je aktívne zneužívaná
Dňa 18. marca Cisco potvrdilo, že chyba je už aktívne zneužívaná v reálnych útokoch. Podľa výskumníkov z Amazon bola využívaná ako zero-day už od januára 2026 – teda ešte pred vydaním opravy.
Medzi skupiny spojené s útokmi patrí aj ransomvérový gang Interlock, ktorý sa objavil koncom roka 2024 a rýchlo si získal pozornosť agresívnymi útokmi.
Známe ciele útokov
Skupina Interlock je spájaná s viacerými významnými incidentmi, vrátane útokov na:
- DaVita
- Kettering Health
- Texas Tech University System
- Saint Paul v štáte Minnesota
Tieto útoky ukazujú trend rýchleho zneužívania nových zraniteľností ešte predtým, než sa stihnú plošne opraviť.
Pokročilé techniky útoku
Útočníci nevyužívajú len samotnú zraniteľnosť, ale kombinujú ju s ďalšími technikami:
- ClickFix – forma sociálneho inžinierstva na získanie prístupu
- nasadenie vzdialených prístupových trójskych koní (RAT)
- použitie malvéru ako NodeSnake a Slopoly
Tieto nástroje im umožňujú dlhodobo zotrvať v systéme, obchádzať detekciu a rozširovať útok v rámci siete.
Núdzová smernica CISA
CISA zaradila túto zraniteľnosť do zoznamu aktívne zneužívaných chýb (KEV) a vydala záväznú smernicu.
Federálne agentúry musia:
- aplikovať bezpečnostné aktualizácie do 22. marca 2026
- alebo prestať používať zraniteľné systémy
Aj keď sa opatrenie priamo týka len amerických federálnych úradov, odporúčanie platí aj pre:
- štátnu a lokálnu správu
- prevádzkovateľov kritickej infraštruktúry
- súkromné firmy
Varovanie pre firmy a organizácie
Incident poukazuje na zásadný problém moderných IT systémov – centralizované nástroje správy predstavujú „single point of failure“. Jediná chyba môže ohroziť celú infraštruktúru.
Organizácie by mali:
- urýchliť procesy aktualizácie (patch management)
- monitorovať podozrivú aktivitu
- segmentovať siete
- zavádzať princípy zero trust
Záver
Zraniteľnosť CVE-2026-20131 ukazuje, ako rýchlo dokážu útočníci využiť kritické chyby – často ešte pred ich zverejnením. Kombinácia vysokej závažnosti, absencie dočasných riešení a aktívneho zneužívania robí z tejto hrozby jednu z najnebezpečnejších v poslednom období.
Smernica CISA je jasným signálom: v dnešnom prostredí kybernetických hrozieb môže aj krátke odkladanie aktualizácií viesť k vážnym bezpečnostným incidentom
Viac informácií tu:
https://www.linkedin.com/pulse/warningcisa-issues-emergency-directive-critical-nax8e
https://cyberscoop.com/cisco-firewall-sd-wan-vulnerabilities-exploited