Ubiquiti opravuje kritické zranitelnosti napříč celým ekosystémem UniFi

  1. července zveřejnilo Ubiquiti bezpečnostní bulletin Security Advisory Bulletin 066, který řeší široké spektrum bezpečnostních chyb napříč produktovou řadou UniFi. Bulletin se týká aplikací UniFi Connect, UniFi Talk, UniFi Access, UniFi Protect, UniFi Network Application a samotné platformy UniFi OS, na které běží brány a konzole jako UDM, UNVR a UNAS. Bulletin skutečnosti obsahuje celkem 25 bezpečnostních zranitelností napříč ekosystémem UniFi.

Nejnebezpečnější chybou je CVE-2026-50746 v aplikaci UniFi Connect, která získala maximální CVSS skóre 10.0. Jde o chybu v řízení přístupu, díky které může útočník s přístupem k síti provést spuštění příkazů bez jakékoli autentizace.

Těsně za ní následují CVE-2026-50747 (CVSS 9.9), řetězec autentizovaných SQL injection zranitelností v UniFi Talk umožňující eskalaci oprávnění, a CVE-2026-50748 (CVSS 9.9), chyba validace vstupů v UniFi Access.

Kromě těchto hlavních problémů obsahuje bulletin i další pozoruhodné chyby. Výzkumníci upozornili na chybu typu path traversal v UniFi OS, která dokáže zcela obejít autentizaci. UniFi Protect má také problémy s obcházením autentizace na API rozhraních a u streamování videa, plus chybu typu SQL injection.

Ubiquiti uvádí, že nemá žádné důkazy o tom, že by tyto nově zveřejněné chyby byly zneužity v reálném provozu, a pro každý postižený produkt nabízí opravenou verzi.

Lidl potvrdil únik dat

Lidl potvrdil bezpečnostní incident týkající se zákazníků svého internetového obchodu. Podle společnosti se neznámí útočníci na krátkou dobu dostali k odděleně uloženému souboru se zákaznickými daty u jednoho z poskytovatelů IT služeb Lidlu a část z něj se jim podařilo odcizit.

Lidl přitom zdůraznil, že samotný systém e-shopu napaden nebyl – incident se odehrál u externího poskytovatele IT služeb, nikoli přímo v infrastruktuře Lidlu. Zákazníci začali dostávat varovné e-maily 10. července a únik se podle dostupných informací netýká jen Česka, ale i dalších evropských trhů, včetně Německa, Nizozemska a Polska což odráží fakt, že online obchod Lidlu sdílí infrastrukturu napříč evropskými pobočkami v rámci skupiny Schwarz Group.

Mezi odcizenými údaji jsou oslovení, jméno a příjmení, telefonní číslo, e-mailová adresa, datum narození a zákaznické číslo. Lidl naopak jasně uvedl, co ohroženo nebylo. Hesla, fakturační a doručovací adresy a bankovní údaje. Tyto data zůstaly v bezpečí a samotné zákaznické účty nebyly kompromitovány.

Podle Lidlu firma v současné době nemá žádné konkrétní důkazy o tom, že by odcizená data byla skutečně zneužita, přesto zákazníky preventivně varuje před riziky phishingových e-mailů, podvodných telefonátů či zpráv a pokusů o zneužití identity, které by mohly uniklé kontaktní údaje využít.

Mluvčí českého Lidlu Veronika Nová a Iveta Barabášová incident potvrdily médiím a uvedly, že dotčení zákazníci byli informováni přímo e-mailem.

Accenture potvrdil únik dat

Lidl nebyl jediným komu tento týden unikly data. Společnost Accenture potvrdila bezpečnostní incident poté, co útočník vystupující pod přezdívkou „888“ zveřejnil nabídku, v níž tvrdí, že z firmy odcizil zhruba 35 gigabajtů interních dat.

Podle příspěvku na fóru z 6. července k útoku došlo začátkem července a odcizená data měla podle útočníka zahrnovat zdrojové kódy, RSA a SSH klíče, přístupové tokeny Azure (Personal Access Tokens), přístupové klíče k Azure Storage a konfigurační soubory. Na podporu svého tvrzení útočník zveřejnil screenshot, který má zachycovat klonování repozitáře Azure DevOps nazvaného „121123_AtriasTalentAcademy“, hostovaného na částečně skryté produkční adrese domény accenture.com.

Podle dostupných informací byla první veřejná reakce Accenture spíše vyhýbavá, firma však následující den potvrdila, že k bezpečnostnímu incidentu skutečně došlo. Mluvčí společnosti sdělil několika médiím, včetně SecurityWeek a BleepingComputer, že jde o izolovaný případ a že incident nemá žádný dopad na provoz ani poskytování služeb Accenture.

Toto potvrzení se ale týká pouze samotné skutečnosti, že k incidentu došlo – firma dosud neověřila konkrétní tvrzení útočníka o objemu či typu odcizených dat, nezveřejnila, jak k průniku došlo, a neuvedla, zda byla zasažena data klientů nebo osobní údaje.

Bezpečnostní odborníky nejvíce znepokojuje povaha údajně unikených dat. Na rozdíl od běžného úniku zákaznických záznamů jak tomu bylo u Lidlu by kombinace zdrojového kódu, cloudových přihlašovacích údajů a kryptografických klíčů mohla útočníkům poskytnout jakousi mapu vnitřních systémů Accenture a umožnit jim hledat napevno zapsaná hesla, slabá místa v kódu nebo cestu k prostředím mnoha firemních klientů společnosti.

Nejde přitom o první případ, kdy se přezdívka „888“ zaměřila na Accenture, ani o první závažný bezpečnostní incident firmy. V roce 2024 se stejný útočník pokusil prodat data spojená s interním nástrojem Accenture „Media Exchange“, což firma tehdy odmítla s tím, že postiženi byli skutečně jen tři lidé.

Tyto případy zapadají do trendu tohoto roku, kdy se útočníci stále častěji zaměřují spíše na externí IT dodavatele a poskytovatele služeb než na hlavní systémy společnosti.

16 let stará chyba v Linux KVM umožňuje útěk hostovaného VM na hostitele

Nově zveřejněná zranitelnost s přezdívkou Januscape, evidovaná jako CVE-2026-53359, ukazuje, jak dlouho se může závažná chyba skrývat v infrastruktuře.

Bezpečnostní výzkumník Hyunwoo Kim objevil chybu typu use-after-free v kódu shadow MMU hypervizoru KVM v Linuxu kódu, který sdílejí implementace pro Intel i AMD x86. Podle Kima jde o první veřejně známý únik z hosta na hostitele (guest-to-host escape), který funguje na obou platformách, a samotná chyba se v jádru zřejmě skrývala nepovšimnuta od zhruba roku 2010.

Technicky problém spočívá v tom, jak KVM spravuje tzv. "shadow pages" kterými si mapuje rozvržení paměti hostovaného VM. Když KVM takovou stránku potřebuje, hledá, zda může znovu použít nějakou existující. Chybná kontrola ale stránky porovnávala pouze podle paměťové adresy (gfn) a ignorovala jejich roli takže se mohly zaměnit dva strukturálně odlišné typy stránek. Tato záměna naruší interní evidenci KVM. Ve většině případů jádro nesrovnalost odhalí a raději samo spadne, aby se ochránilo. Přesně to dělá veřejně dostupný proof-of-concept. Škodlivý host dokáže shodit celý hostitelský server a s ním i všechny ostatní VM na stejném stroji. Ve vzácnějším a nebezpečnějším scénáři je uvolněná stránka přidělena k jinému účelu dřív, než proběhne úklid, což způsobí zápis do paměti, kterou už jádro nevlastní. Podle Kima lze z tohoto omezeného přístupu vybudovat plnohodnotné spuštění kódu na hostiteli, tento exploit však zatím nebyl zveřejněn.

Januscape je již třetí Kimovo odhalení chyby v jádru Linuxu za zhruba dva měsíce a to po Dirty Frag a ITScape.

Opravu napsal správce KVM Paolo Bonzini a přidává jediný řádek kontroly, díky němuž se stínová stránka znovu použije pouze tehdy, pokud se shoduje jak její paměťová adresa, tak role.

Progress vyzývá zákazníky ShareFile k okamžitému vypnutí serverů

  1. července rozeslala společnost Progress Software zákazníkům provozujícím lokální ShareFile Storage Zone Controllers naléhavé varování s názvem „Service Disruption. Immediate Action Required“. Firma uvedla, že identifikovala „externí bezpečnostní hrozbu“ mířící na tyto systémy, a jako preventivní opatření již postiženým účtům deaktivovala přístup přes cloud.

Podstatné je, že Progress zákazníkům zároveň sdělil, že samotné odpojení od cloudu nestačí. Administrátoři musí ručně vypnout Windows servery, na kterých Storage Zone Controllers běží. Stavová stránka ShareFile nyní potvrzuje, že zákazníci se Storage Zone Controllers jsou „mimo provoz“, zatímco probíhá vyšetřování.

Storage Zone Controllers představují lokální (on-premises) součást hybridního nasazení ShareFile. Umožňují organizacím uchovávat soubory na vlastním úložišti, přičemž pro autentizaci, sdílení a správu účtů se stále využívá cloud ShareFile. Protože tyto řadiče zprostředkovávají přenos souborů mezi cloudem a interním úložištěm, jsou typicky přístupné z internetu, což z nich dělá atraktivní cíl a vysvětluje, proč se Progress rozhodl pro úplné vypnutí místo pouhého pokynu k instalaci opravy.

Firma uvádí, že v tuto chvíli nemá důkazy o neoprávněném přístupu k účtům nebo datům a že spolupracuje s interními i externími bezpečnostními experty.