FortiBleed: rusky mluvící skupina sbírá funkční přihlašovací údaje k desítkám tisíc firewallů Fortinet
SOCRadar a nezávislý výzkumník Volodymyr „Bob" Diachenko odhalili rozsáhlou a stále aktivní kampaň, kterou SOCRadar pojmenoval FortiBleed. Útočníci dlouhodobě a automatizovaně kompromitují firewally Fortinet FortiGate a brány SSL VPN vystavené do internetu a budují ověřenou databázi funkčních přihlašovacích údajů napříč 194 zeměmi.
Údaje o rozsahu se mezi zdroji liší. SOCRadar postupně navyšoval počet kompromitovaných zařízení z původních 30 791 na 86 644 (stav k 19. červnu 2026). Diachenko, společnost Hudson Rock i výzkumník Kevin Beaumont uvádějí přibližně 73 932 unikátních zařízení napříč 21 632 doménami, což podle Beaumonta odpovídá zhruba polovině všech firewallů Fortinet dostupných z internetu podle dat ze Shodanu.
Sám Diachenko popisuje, že skupina otestovala asi 1,16 miliardy kombinací jmen a hesel proti zhruba 320 000 cílům FortiGate a paralelně vedla brute-force útoky i na více než 160 000 MSSQL serverů.
Útok nestojí na jediné zranitelnosti. Skupina zkouší proti zařízením seznam dříve uniklých hesel z předchozích incidentů (tzv. credential stuffing) a doplňuje ho brute-force útoky. Z kompromitovaných zařízení exfiltruje konfigurační soubory, z kterých pak offline láme uložené hashe hesel.
Mezi oběťmi je zastoupen prakticky každý sektor. Banky, telekomunikační operátoři, nemocnice, univerzity, vládní instituce, energetika i nadnárodní korporace. V úniku objevujeme i jména velkých firem jako Samsung, Oracle, Siemens, Lenovo nebo Spotify. V Česku můžeme vidět data spojená například s PPF, Autocontem, obcemi a školami. V několika případech bylo potvrzeno i úspěšné pivotování v síti oběti.
Nástroje, infrastruktura i výběr obětí podle SOCRadaru odpovídají rusky mluvící kyberkriminální skupině s několika operátory.
V době vydání Security Sunday kampaň stále běží a útočníci průběžně přidávají nové cíle.
iPhone 11 s neopravitelnou chybou: nový exploit usbliter8 obchází SecureROM během dvou sekund
Hardwarová zranitelnost se opět vrací do hledáčku bezpečnostních výzkumníků. Tým Paradigm Shift 18. června zveřejnil exploit s názvem usbliter8, který útočí na SecureROM (BootROM) čipů Apple A12 a A13 a umožňuje spuštění libovolného kódu ještě dříve, než se načte podepsaný boot-chain operačního systému.
Jde o první veřejně známý BootROM exploit tohoto typu od dob checkm8 z roku 2019, který tehdy zasáhl zařízení s čipy A5 až A11.
Klíčový problém spočívá v tom, že SecureROM je první kód, který se po zapnutí zařízení spustí, a je nevratně vypálen do křemíku už při výrobě. Kvůli tomu jej nelze opravit žádnou softwarovou aktualizací, takže postižená zařízení tak ponesou tuto chybu po celou dobu své životnosti.
V praxi to znamená širokou škálu zařízení: iPhone XS, XS Max, XR a celou řadu iPhone 11, Apple Watch Series 4 a 5, první generaci Apple Watch SE, HomePod mini i některé modely iPadů.
Pozoruhodné je, že iPhone 11 (čip A13) je zároveň nejstarším iPhonem, který stále podporuje iOS 26. Mnoho postižených zařízení je tedy stále v aktivním provozu a běží na aktuálním systému.
F5 záplatuje dvě závažné chyby v NGINXu. HTTP/3 i HTTP/2 moduly umožňují vzdálené spuštění kódu
Společnost F5 vydala 17. června mimořádné bezpečnostní aktualizace, které řeší dvě zranitelnosti ve webovém serveru NGINX. Obě chyby mohou neautentizovanému vzdálenému útočníkovi pomoci k pádu serveru (DoS), případně za specifických podmínek i k vzdálenému spuštění kódu (RCE).
První a vážnější chyba CVE-2026-42530 je typu use-after-free (CWE-416) v modulu ngx_http_v3_module, tedy v implementaci protokolu HTTP/3 nad QUIC. Pokud má server HTTP/3 zapnuté, dokáže vzdálený neautentizovaný útočník pomocí speciálně sestavené HTTP/3 relace přimět NGINX k opětovnému otevření QPACK encoder streamu — což se podle specifikace má v rámci jednoho spojení stát jen jednou. Tím vznikne situace, kdy worker proces sáhne na již uvolněnou paměť, spadne a automaticky se restartuje (opakovaně tak vznikne DoS).
Druhá chyba CVE-2026-42055 je heap-based buffer overflow (CWE-122) v modulech ngx_http_proxy_v2_module a ngx_http_grpc_module, který se projeví při proxyování provozu po HTTP/2 na upstream. Zde musí být současně splněny tři podmínky: použití direktivy grpc_pass nebo proxy_http_version 2, vypnutá direktiva ignore_invalid_headers off a hodnota large_client_header_buffers větší než 2 MB. Teprve tehdy může útočník zaslat takový HTTP/2 provoz, který způsobí poškození paměti s následkem pádu workeru.
Je potřeba říct, že nejde o všechny NGINX servery na světě. Obě zranitelnosti jsou dosažitelné pouze při nestandardní konfiguraci a rozsah dotčených verzí je u jedné z nich poměrně úzký.
Opravené verze jsou NGINX Open Source 1.31.2 (mainline) a 1.30.3 (stable).
CISA varuje před aktivně zneužívanou zranitelností v Joomla Content Editoru umožňující vzdálené spuštění kódu bez přihlášení
Americká agentura CISA v úterý 16. června zařadila do svého katalogu Known Exploited Vulnerabilities (KEV) kritickou zranitelnost, která se týká rozšíření Widget Factory Joomla Content Editor (JCE), a to s odkazem na důkazy o aktivním zneužívání.
Chyba vedená pod označením CVE-2026-48907 dostala skóre CVSS 10.0 a jde o případ nesprávného řízení přístupu (improper access control, CWE-284). Podle popisu publikovaného na CVE[.]org problém umožňuje útočníkovi vytvářet nové profily editoru pro neautentizované uživatele, což otevírá cestu k nahrání a spuštění PHP kódu na serveru.
Joomla podle dat W3Techs pohání zhruba 1,2 % všech webů, jedná se o pátý nejpoužívanější redakční systém a JCE patří k nejrozšířenějším doplňkům.
