Dne 29. dubna zveřejnili výzkumníci ze společnosti Theori zranitelnost přezdívanou Copy Fail (CVE-2026-31431). Jde o lokální eskalaci oprávnění v jádře Linuxu s CVSS skóre 7,8 která postihuje prakticky všechny hlavní distribuce vydané od roku 2017.
Veřejně dostupný exploit má pouhých 732 bajtů Python kódu a podle Theori funguje beze změn na Ubuntu 24.04, Amazon Linux 2023, RHEL 10.1 i SUSE 16.
Zranitelnost vznikla nešťastnou interakcí tří změn jádra: přidání authencesn v roce 2011, zavedení AF_ALG AEAD socketů v roce 2015 a in-place optimalizace v souboru algif_aead.c z roku 2017.
Sám o sobě CopyFail nelze zneužít vzdáleně, útočník potřebuje nejprve spustit kód pod běžným uživatelským účtem.
Oprava vrací optimalizaci z roku 2017 a byla do jádra začleněna začátkem dubna. Ubuntu 26.04 zranitelností netrpí, AlmaLinux uvolnil opravená jádra do produkčních repozitářů 1. května 2026 a Fedora už záplatu také vydala.
Ostatní distribuce balíčky stále finalizují. Jako okamžitou mitigaci doporučuje CERT-EU i většina dodavatelů zakázat modul algif_aead.
::: info Víte, jestli jsou vaše systémy bezpečné? Každý týden přinášíme příklady útoků a zranitelností, které mohou zasáhnout kohokoliv. Pokud si nejste jistí, zda je vaše infrastruktura odolná, rádi vám pomůžeme to zjistit. V SysNetShield nabízíme sken zranitelností, penetrační testy, Red Teaming i simulace phishingových kampaní. Napište nám, první konzultace nebo scan zranitelností na jednu doménu/IP adresu je zdarma. :::
Jediný git push stačil k převzetí infrastruktury GitHubu
Bezpečnostní výzkumníci ze společnosti Wiz, odhalili kritickou zranitelnost v interní git infrastruktuře GitHubu. Chyba sledovaná jako CVE-2026-3854 s CVSS skóre 8.7 se týkala nejen self-hosted verze GitHub Enterprise Server (GHES), ale taky veřejné platformy GitHub[.]com.
Útočníkovi s jakýmkoliv push přístupem k libovolnému repozitáři, třeba i k vlastnímu nově vytvořenému, stačil jediný příkaz git push s podvrženými push options k tomu, aby dosáhl spuštění libovolných příkazů na backend serverech GitHubu.
Tým výzkumníků z Wizu chybu nahlásil 4. března, GitHub ji potvrdil do 40 minut a opravu na GitHub[.]com nasadil v rámci jednotek hodin. Veřejné zveřejnění bylo odloženo až na 28. dubna 2026, aby zákazníci GHES měli dostatek času na aktualizaci.
Dopad na veřejnou platformu byl obzvlášť závažný. GitHub[.]com funguje jako vícetenantní prostředí, kde repozitáře milionů různých organizací sdílejí společné storage uzly. Spuštění kódu pod systémovým uživatelem git znamenalo možnost čtení libovolného repozitáře na daném uzlu. Výzkumníci z Wizu během testování prokázali přítomnost milionů indexových záznamů cizích repozitářů na dvou kompromitovaných uzlech, ovšem k samotnému obsahu cizích dat nepřistupovali a vše ověřovali pouze pomocí vlastních testovacích účtů.
GitHub následně provedl forenzní šetření a CISO Alexis Wales potvrdil, že telemetrie nezachytila žádné spuštění tohoto kódu kromě testů samotných výzkumníků. Žádná zákaznická data tedy nebyla podle GitHubu kompromitována.
Kritická zranitelnost v cPanel a WHM ohrožuje miliony serverů
Společnost cPanel vydala 28. dubna mimořádnou bezpečnostní aktualizaci, která řeší kritickou zranitelnost ovlivňující prakticky všechny podporované verze řídicího panelu cPanel a WebHost Manageru (WHM). Chyba sledovaná jako CVE-2026-41940 s CVSS skóre 9.8 umožňuje neautentizovanému útočníkovi vzdáleně obejít přihlašovací proces a získat administrátorský přístup k serveru.
Podle dat společnosti Eye Security je k internetu připojeno přes dva miliony instancí cPanelu, vyhledávání ve službě Shodan ukazuje zhruba 1,5 milionu potenciálních cílů v Česku to je necelá stovka serverů.
Z technického hlediska se jedná o útok typu CRLF injection (Carriage Return Line Feed) v procesu nahrávání a ukládání session souborů. Démon cpsrvd ukládá session soubor na disk ještě před samotnou autentizací.
Chyba byla podle dostupných informací aktivně zneužívána jako zero-day ještě před oficiálním zveřejněním. Daniel Pearson, generální ředitel KnownHostu, uvádí, že zranitelnost byla pozorována přinejmenším 30 dní před vydáním záplaty, některé spekulace na fórech zmiňují cílené útoky již od 23. února 2026. Reakce poskytovatelů hostingu byla rychlá, ale v některých případech poměrně zoufalá. Namecheap, hosting[.]
com, KnownHost a další velcí hráči okamžitě zablokovali firewallem porty TCP 2083 a 2087 a tím dočasně odřízli vlastní zákazníky od jejich administračních rozhraní.
Benjamin Harris z watchTowru tuto situaci výstižně popsal slovy “ do několika hodin po zveřejnění záplaty zatáhly největší hostingové společnosti za záchrannou brzdu, protože alternativou bylo sledovat, jak je celá zákaznická základna v reálném čase kompromitována.”
Záplaty jsou dostupné pro všechny aktuálně podporované větve produktu. Z hlediska detekce kompromitace cPanel zveřejnil skript hledající indikátory napadení.
Pozor na podvodné SMS s falešnou pokutou
Národní bezpečnostní tým CSIRT[.]CZ vydal 30. dubna varování před rozsáhlou kampaní podvodných SMS zpráv, které vyzývají příjemce k úhradě údajné pokuty. Tým provozovaný sdružením CZ.NIC uvádí, že v posledním týdnu se na denní bázi věnuje rušení podvodných webů zneužívaných v této kampani, na kterou před týdnem upozornila i Policie.
Útočníci posílají krátkou zprávu s odkazem, jenž oběť přesměruje na falešnou stránku napodobující státní portál nejčastěji identitu občana. CSIRT[.]CZ doporučuje na takové zprávy nereagovat, odkazy v nich neotevírat a podezřelou SMS přeposlat operátorovi na bezplatné číslo 7726.
Scénář útoku je propracovaný a využívá tři klasické pilíře sociálního inženýrství: autoritu, časový tlak a technický trik. Zpráva se tváří jako úřední výzva od Policie ČR či Ministerstva dopravy, oběti je vyčíslena pokuta za údajné překročení rychlosti a stanovena krátká lhůta, obvykle tři dny, než bude částka vymáhána. Některé varianty navíc nabízejí při rychlém zaplacení poloviční slevu.
Falešné stránky věrně napodobují design státních portálů včetně přihlášení přes bankovní identitu, přičemž po zadání údajů útočník získá přístup k internetovému bankovnictví oběti. Policie za poslední dny zaznamenala desítky takových případů, přičemž jeden z poškozených na Frýdecko-Místecku přišel o více než 230 tisíc korun.
Klíčové sdělení, které opakovaně zaznívá od policie i operátorů, zní jednoznačně: Policie nikdy nezasílá SMS s výzvou k úhradě pokuty a s odkazem na platbu.
Co tedy dělat, pokud Vám taková zpráva příjde? Na odkaz neklikat, na zprávu neodpovídat a SMS přeposlat na číslo 7726, ideálně i s časem doručení a číslem odesílatele. Pokud někdo na podvodný odkaz již klikl a vyplnil přihlašovací údaje, je nutné okamžitě kontaktovat svou banku, zablokovat platební kartu, změnit hesla a incident nahlásit Policii ČR.
