CISA tento týden přidala šest zranitelností do katalogu aktivně zneužívaných chyb
Americká agentura CISA přidala ve dnech 17. a 18. února 2026 do svého katalogu Known Exploited Vulnerabilities (KEV) celkem šest aktivně zneužívaných zranitelností. Nejvážnější z nich jsou Chrome zero-day a chyba v zálohovacím systému Dell RecoverPoint, kterou čínský aktér zneužíval skrytě po dobu téměř 18 měsíců.
V průběhu dvou dnů CISA zaznamenala aktivní zneužívání zranitelností v produktech Google, Microsoft, Dell, Synacor Zimbra a TeamT5. Katalog KEV slouží jako autoritativní přehled skutečně exploitovaných chyb a je závazným podkladem pro správu zranitelností v amerických federálních agenturách. Pro všechny ostatní organizace jej CISA doporučuje jako základ pro stanovení priorit při záplatování.
Nejzávažnějším případem ze 17. února je chyba CVE-2026-2441 v Google Chromium. Jde o use-after-free zranitelnost v CSS enginu, která útočníkovi umožňuje vzdáleně spustit libovolný kód přes speciálně připravenou HTML stránku. Chyba se dotýká všech prohlížečů postavených na Chromiu – tedy Google Chrome, Microsoft Edge i Opera. Google vydal záplatu v rámci aktualizace stabilního kanálu 13. února 2026. Federální agentury mají povinnost chybu odstranit do 10. března 2026.
Druhá zásadní položka ze stejného dne je zranitelnost CVE-2008-0015 v Microsoft Windows Video ActiveX Control – chyba stará více než 17 let, která se přesto aktivně zneužívá. Útočník může pomocí podvržené webové stránky spustit kód s právy přihlášeného uživatele. Oprava je dostupná, ale její aplikace vyžaduje pozornost zejména u starších prostředí. CISA přidala 17. února také CVE-2020-7796 (Synacor Zimbra Collaboration Suite, SSRF zranitelnost) a CVE-2024-7694 (TeamT5 ThreatSonar Anti-Ransomware, neoprávněné nahrávání souborů).
Zásilka z 18. února přinesla dvě položky s výrazným geopolitickým rozměrem. CVE-2026-22769 je zranitelnost zálohovacího systému Dell RecoverPoint for Virtual Machines (RP4VMs), která spočívá v pevně zakódovaných přihlašovacích údajích (hardcoded credentials). Čínský aktér označovaný jako UNC6201 ji zneužíval jako zero-day přibližně 18 měsíců, čímž si zajišťoval dlouhodobý a obtížně detekovatelný přístup k cílovým sítím. Informace zveřejnily Google Threat Intelligence Group a Mandiant. Dell vydal záplatu i skript pro nápravu, dostupné jsou na stránkách podpory výrobce. Druhou položkou z 18. února je CVE-2021-22175 – Server-Side Request Forgery (SSRF) zranitelnost v GitLab.
Případ Dell RecoverPoint je výrazným připomenutím, že zálohovací a recovery systémy jsou atraktivním cílem – mají zpravidla rozsáhlý přístup k infrastruktuře a jejich kompromitace může zůstat dlouho nepovšimnuta. Organizace provozující RecoverPoint by měly bezodkladně aplikovat dostupné záplaty, zkontrolovat přihlašovací údaje a prohledat logy z pohledu laterálního pohybu a anomálního provozu zálohovacích nástrojů.
Doporučení
Organizace by měly chromové prohlížeče aktualizovat na nejnovější verzi, prověřit nasazení Dell RecoverPoint a aplikovat záplaty dle pokynů výrobce. Federální agentury mají pro odstranění chyb CVE-2026-2441 a CVE-2026-22769 termín 10. března 2026.
Další články
Zákon o kritické infrastruktuře: do 1. března zbývají dny.
ENISA vydala „State of the Cybersecurity in the Union“ – přehled vyspělosti a doporučení
