Zašto siguran kod više nije dovoljan za sigurnost proizvoda

Moderne aplikacije i digitalni proizvodi danas prolaze kroz više razina provjere nego ikada prije. Code review je standardni dio razvoja, automatizirane sigurnosne provjere često su uključene u pipeline, a funkcionalno i sigurnosno testiranje postali su normalan dio release procesa.

Ipak, proizvodi koji prolaze takve provjere i dalje završavaju kompromitirani.

Razlog nije nužno u tome da sigurnosno testiranje ne postoji ili da razvojni timovi ignoriraju sigurnost. Problem je puno češće u tome što se sigurnost i dalje promatra preusko. Fokus ostaje na aplikaciji ili pojedinoj funkcionalnosti, dok stvarni napadni put često nastaje tek kada se promatra cijelo okruženje zajedno.

Aplikacija može imati siguran authentication flow, ali istovremeno otkrivati previše informacija kroz API odgovore. Može prolaziti interne sigurnosne provjere, a istovremeno imati deployment konfiguraciju koja izlaže debug informacije ili interne putanje. Može imati kvalitetnu validaciju unosa, ali uz to koristiti servise i integracije koje stvaraju neočekivani napadni put.

Upravo tu nastaje razlika između sigurnosti koda i sigurnosti proizvoda.

Jedan od obrazaca koji se redovito pojavljuje tijekom testiranja uključuje API-je koji tehnički rade ispravno, ali vraćaju više podataka nego što je potrebno. Endpoint vraća legitimne podatke za zahtjev, ali uz njih otkriva interne identifikatore, strukturu objekata ili način na koji su servisi povezani. Iz razvojne perspektive odgovor je ispravan. Iz perspektive napadača, to postaje alat za mapiranje sustava.

Slična situacija pojavljuje se kod autentikacije. Lozinke se validiraju, tokeni se ispravno obrađuju, sesije rade očekivano. No kada se više endpointa koristi zajedno, pojavljuje se mogućnost zaobilaženja ograničenja. Jedan endpoint potvrđuje postoji li korisnik, drugi dopušta previše pokušaja autentikacije, treći otkriva dodatni kontekst o računu. Svaki dio pojedinačno djeluje prihvatljivo. Zajedno stvaraju stvaran napadni put.

Konfiguracija i infrastruktura dodatno kompliciraju situaciju. Tijekom testiranja često se vidi da aplikacija sama po sebi nema ozbiljan problem, ali deployment okruženje otkriva interne informacije, environment varijable, reference na druge servise ili nepotrebno izložene administrativne funkcionalnosti.

Takve stvari često nisu problem razvoja aplikacije. Problem je što sigurnost proizvoda ne završava kodom.

U praksi AresISEC često vidi aplikacije koje prolaze interne sigurnosne provjere, ali i dalje imaju napadne putove koji postaju vidljivi tek kada se aplikacija, konfiguracija, infrastruktura i način korištenja promatraju zajedno.

Upravo zato sigurnost proizvoda danas postaje puno šira tema od samog testiranja aplikacije. To se sve više vidi i kroz regulatorne zahtjeve.

Cyber Resilience Act postupno uvodi obveze za proizvođače softvera i proizvoda s digitalnim elementima na razini cijele Europske unije. Većina zahtjeva počet će se primjenjivati krajem 2027. godine, dok obveze vezane uz prijavu aktivno iskorištenih ranjivosti i incidenata dolaze ranije. Regulativa će zahtijevati sustavan pristup sigurnosti proizvoda kroz cijeli životni ciklus, uključujući upravljanje ranjivostima, sigurnosna ažuriranja, dokumentaciju i procjenu rizika. Za organizacije koje razvijaju ili održavaju digitalne proizvode to znači da sigurnost više neće biti samo tehničko ili razvojno pitanje, nego i regulatorna obveza s potencijalno značajnim financijskim kaznama.

Cyber Resilience Act dodatno pomiče fokus sa same aplikacije na sigurnost proizvoda kroz cijeli životni ciklus. Za organizacije koje razvijaju softver ili proizvode s digitalnim elementima pitanje više neće biti samo prolazi li funkcionalnost testiranje, nego postoji li sustavan pristup sigurnosti tijekom dizajna, razvoja, implementacije, održavanja i upravljanja ranjivostima.

To mijenja način na koji se promatra sigurnost razvoja. Sigurnost više nije samo provjera pojedinog dijela sustava. Postaje pitanje načina na koji se cijeli proizvod ponaša u stvarnom okruženju i pod stvarnim uvjetima.

Ključna poanta nije da razvojni timovi ne rade sigurnosno testiranje. Većina ozbiljnih timova ga radi. Problem je u tome što nijedna pojedinačna provjera sama ne može pokriti sve perspektive.

Stvarna sigurnost proizvoda počinje tek kada se sustav promatra kao cjelina.

Izvori:
European Union – Cyber Resilience Act (Regulation (EU) 2024/2847)

OWASP – Web Security Testing Guide

OWASP – Top 10 Web Application Security Risks

NIST – Technical Guide to Information Security Testing and Assessment (SP 800-115)

Želite provjeriti kako se vaša aplikacija ponaša izvan očekivanih scenarija korištenja?

Sigurnosne vijesti tjedna [06/26-1]

Cisco SD WAN nulti dan aktivno se iskorištava za dobivanje root pristupa
Cisco je upozorio da se CVE-2026-20245 u Catalyst SD WAN Manageru aktivno iskorištava u napadima. Nezakrpani propust omogućuje napadačima s niskim ovlastima podizanje pristupa na root razinu, što ga čini posebno opasnim za organizacije koje preko SD WAN upravljačke ravnine kontroliraju šire mrežno okruženje.
Izvor: BleepingComputer

Palo Alto GlobalProtect VPN propust za zaobilaženje autentifikacije sada se iskorištava u napadima
Palo Alto Networks navodi da se CVE-2026-0257 sada koristi za uspostavu neautoriziranih VPN veza kroz GlobalProtect. Budući da problem pogađa izravnu ulaznu točku prema korporativnim mrežama, predstavlja trenutačan rizik za internetom izložene sustave koji još nisu ažurirani.
Izvor: Palo Alto Networks

Kritični Windows Netlogon RCE sada se iskorištava protiv domain controllera
Belgijsko nacionalno tijelo za kibernetičku sigurnost upozorilo je da napadači iskorištavaju CVE-2026-41089, kritičan Windows Netlogon propust za udaljeno izvršavanje koda koji je Microsoft zakrpao u svibnju. Budući da je Netlogon središnji dio domenske autentifikacije, uspješna eksploatacija može izravno ugroziti jezgru Windows identitetske infrastrukture.
Izvor: BleepingComputer

Oracle WebLogic ranjivost sada se iskorištava u stvarnim napadima
CISA je upozorila da se CVE-2024-21182 u Oracle WebLogicu iskorištava u stvarnim napadima gotovo dvije godine nakon objave zakrpe. Slučaj pokazuje kako stariji enterprise propusti s javno dostupnim proof of concept kodom mogu ostati operativno važni dugo nakon vendorove ispravke.
Izvor: SecurityWeek

Red Hat npm paketi kompromitirani su radi krađe developerskih vjerodajnica
Više od 30 paketa u Red Hat @redhat-cloud-services namespaceu bilo je zaraženo novom varijantom Shai Hulud malwarea nazvanom Miasma. Malware je osmišljen za krađu cloud tajni, SSH ključeva, CI tokena i developerskih vjerodajnica, čime je pouzdani enterprise paketni namespace pretvoren u supply chain napadni kanal.
Izvor: BleepingComputer

VS Code nulti dan može ukrasti GitHub tokene jednim klikom
Istraživači su objavili exploit kod za VS Code nulti dan koji može instalirati zlonamjerne ekstenzije i ukrasti GitHub OAuth tokene ako korisnik klikne posebno pripremljenu poveznicu. Problem je ozbiljan jer pogađa široko korišten developerski alat i može izložiti privatne repozitorije kroz naizgled legitimne workflowe.
Izvor: BleepingComputer

WP Maps Pro propust omogućuje napadačima stvaranje WordPress administratorskih računa
Napadači aktivno iskorištavaju CVE-2026-8732 u WP Maps Pro dodatku kako bi bez autentifikacije stvorili administratorske račune na pogođenim WordPress stranicama. Problem je posebno ozbiljan jer funkcija za privremeni pristup podršci postaje izravan put do potpunog preuzimanja stranice.
Izvor: Security Affairs

Kritičan Flowise propust može napadačima dati potpunu kontrolu nad poslužiteljem
Kritična ranjivost u Flowiseu omogućuje da zlonamjerni workflow pri uvozu preuzme self hosted poslužitelj čim ga otvori prijavljeni korisnik. Istraživači su dodatno upozorili da se službena zakrpa može zaobići, što produljuje razdoblje izloženosti za organizacije koje platformu koriste interno.
Izvor: Infosecurity Magazine

Dashlane navodi da su napadači kopirali šifrirane password vaultove nekih korisnika
Dashlane je objavio da je brute force kampanja rezultirala ne samo zaključavanjima računa nego i pristupom nekim korisničkim računima te kopiranjem šifriranih vaultova. Iako tvrtka tvrdi da interni sustavi nisu kompromitirani, incident je ozbiljan jer password manageri koncentriraju izrazito osjetljive podatke na jednom mjestu.
Izvor: Help Net Security

UN World Food Programme povreda podataka pogodila je 600.000 kućanstava u Gazi
UN World Food Programme objavio je da je kompromitirana njegova aplikacija za samoregistraciju za Palestinu, pri čemu su izloženi podaci korisnika diljem Gaze. Zahvaćeni podaci uključuju imena, identifikacijske brojeve, telefonske brojeve i lokacijske podatke, što ovaj incident čini velikim sigurnosnim i humanitarnim problemom.
Izvor: BleepingComputer

PCPJack je preoteo 230 cloud poslužitelja u skrivenu SMTP relay mrežu
Hunt.io je pronašao javno izloženu infrastrukturu operatora povezanu s PCPJack kampanjom i povezao je s 230 kompromitiranih AWS, GCP i Azure sustava. Operacija je koristila Sliver, Chisel i druge alate za izgradnju prikrivene SMTP relay mreže koja može služiti za masovni spam i dodatne oblike zloupotrebe.
Izvor: Hunt.io

Gamaredon skriva worm komponente u NTFS data streamovima
Sekoia je primijetila da Gamaredon koristi alternate data streamove u Windowsu kako bi sakrio worm komponente i zadržao dugotrajan pristup unutar ukrajinskih mreža. Tehnika smanjuje vidljive tragove na disku i dobro se uklapa u dugogodišnji špijunski fokus skupine na državne, vojne i kritične ciljeve.
Izvor: Infosecurity Magazine

GoDaddy je pronašao malware na gotovo 2.000 WordPress stranica koje koriste Steam kao C2
GoDaddy istraživači otkrili su malware na oko 1.980 WordPress stranica koji skriva naredbe u komentarima Steam Community profila koristeći nevidljive Unicode znakove. Kampanja se izdvaja time što legitimnu gaming platformu koristi kao neuobičajenu command and control infrastrukturu.
Izvor: Security Affairs

Operation FlutterBridge širi novi macOS backdoor kroz malvertising
Unit 42 opisao je aktivnu macOS malvertising kampanju nazvanu Operation FlutterBridge koja isporučuje backdoor FlutterShell. Osim adware funkcionalnosti, malware podržava izvršavanje shell naredbi i manipulaciju datotečnim sustavom, a neke varijante zloupotrebljavaju i AI sažimanje tijekom krađe podataka.
Izvor: Unit 42

Magecart napadači koriste Stripe i Google Tag Manager kao pouzdano pokriće
Sansec je otkrio kampanju krađe platnih kartica koja zloupotrebljava Google Tag Manager i Stripe infrastrukturu za hostanje zlonamjernog checkout koda i ukradenih kartičnih podataka. Skrivanjem unutar domena kojima trgovine ionako vjeruju, napadači znatno otežavaju detekciju i blokiranje kampanje.
Izvor: BleepingComputer

Sigurnosne vijesti tjedna [05/26-4]

Megalodon supply chain napad kompromitirao je više od 5.000 GitHub repozitorija
Megalodon je bio jedan od najznačajnijih incidenata u developerskom ekosustavu u ovoj turi, jer su napadači u svega nekoliko sati pogurali tisuće commitova u više od 5.000 javnih GitHub repozitorija. Kampanja je ciljala GitHub Actions workflowe s ciljem krađe svih tajni dostupnih runnerima, uključujući cloud ključeve, SSH materijal i OIDC tokene.
Izvor: InfoStealers

CISA upozorava da Nx Console i GitHub supply chain upadi pogađaju CI CD okruženja
CISA je objavila da nedavni upadi u developerski ekosustav, uključujući kompromitaciju Nx Consolea i kampanju Megalodon, pokazuju da napadači aktivno zloupotrebljavaju CI CD alate, ekstenzije i workflowe. Upozorenje je važno jer ove incidente postavlja kao dio šireg obrasca, a ne kao izolirane pojedinačne slučajeve.
Izvor: CISA

GitHub rotira Enterprise Server signing key nakon napada na interne repozitorije
GitHub je objavio da je nedavno otkrio kibernetički napad i započeo rotaciju ključeva, uključujući GitHub Enterprise Server signing key. To je važan potez jer se taj ključ koristi za potvrdu autentičnosti binarnih datoteka GitHub Enterprise Servera tijekom ručnih nadogradnji.
Izvor: GitHub

Nezakrpani Gogs propust omogućuje autentificirano udaljeno izvršavanje koda
Rapid7 je objavio kritičan argument injection propust u Gogsu koji bilo kojem autentificiranom korisniku može omogućiti izvršavanje koda na poslužitelju tijekom pull request rebase procesa. U trenutku objave nije postojala službena zakrpa, što samostalno hostane Git instance čini posebno rizičnima.
Izvor: Rapid7

FortiClient EMS iskorištava se za isporuku EKZ infostealera
Arctic Wolf je primijetio napadače kako iskorištavaju CVE-2026-35616 u FortiClient EMS-u i isporučuju lažnu Fortinet zakrpu koja zapravo instalira EKZ infostealer. Malware je usmjeren na krađu vjerodajnica iz preglednika, čime slabost u enterprise upravljačkom sustavu postaje izravan kanal za masovnu krađu pristupnih podataka.
Izvor: Arctic Wolf

Ghost CMS propust iskorišten je za preuzimanje više od 700 stranica u ClickFix kampanji
Napadači su iskoristili CVE-2026-26980 u Ghost CMS-u kako bi ubacili zlonamjerni JavaScript u više od 700 stranica i nahranili ClickFix lance napada. Kampanja pokazuje kako kompromitacija legitimnih stranica napadačima daje pouzdanu infrastrukturu za široke socijalno inženjerske operacije.
Izvor: The Hacker News

Carnival je potvrdio povredu podataka koja pogađa gotovo 6 milijuna ljudi
Carnival je potvrdio veliku povredu podataka koja pogađa gotovo 6 milijuna osoba, nakon ranijih tvrdnji povezanih sa skupinom ShinyHunters. Veličina izloženosti i osjetljivost korisničkih podataka čine ovo jednom od najvažnijih potvrđenih povreda u ovoj turi.
Izvor: BleepingComputer

Silent Ransom Group socijalnim inženjeringom cilja odvjetnička društva predstavljajući se kao IT podrška
FBI i CISA upozorili su da skupina Silent Ransom Group, poznata i kao Luna Moth, cilja odvjetnička društva telefonskim pozivima i phishing emailovima uz lažno predstavljanje kao IT podrška. Nakon toga koriste legitimne alate za udaljeni pristup ili čak pokušavaju ostvariti fizički pristup kako bi izvukli podatke i izvršili iznudu.
Izvor: IC3

JOMANGY kampanja pretvara FreePBX sustave u infrastrukturu za toll fraud
Cyble je povezao aktivnu FreePBX kampanju iskorištavanja s akterom INJ3CTOR3 i naveo da operacija postavlja self healing webshellove koji uključuju stvarnu logiku za toll fraud. Opseg je značajan, s pokazateljima koji upućuju na tisuće skeniranih IP adresa i aktivnu zloupotrebu SIP trunkova žrtava za izravnu financijsku korist.
Izvor: Cyble

GlassWorm botnet je prekinut nakon višemjesečne zloupotrebe open source ekosustava
CrowdStrike, Google i Shadowserver Foundation prekinuli su GlassWorm botnet sinkroniziranim gašenjem njegovih command and control kanala. Botnet je koristio blockchain, Google Calendar, BitTorrent i VPS infrastrukturu kao rezervne kanale, što pokazuje koliko je njegov model upravljanja bio otporan prije prekida rada.
Izvor: SecurityWeek

JINX-0164 cilja crypto tvrtke kroz developere i CI CD infrastrukturu
Wiz je opisao financijski motiviranog aktera kojeg prati kao JINX-0164, a koji koristi socijalni inženjering s lažnim regrutacijskim temama, prilagođeni macOS malware i napade na CI CD okruženja unutar kripto organizacija. Kampanja je važna jer spaja kompromitaciju prijenosnih računala zaposlenika s pokušajima ulaska u sustave za distribuciju koda i razvojnu infrastrukturu.
Izvor: Wiz

Smishing operacija kroz 19 država ciljala je državne, poštanske i telekom brendove
Hunt.io je pokazao da je ono što je počelo kao imitacija rumunjskog državnog servisa zapravo dio šire smishing operacije kroz 19 država. Infrastruktura je ciljala državne portale za plaćanje, poštanske servise i telekom brendove, što ukazuje na koordiniran međunarodni fraud ekosustav, a ne lokalnu kampanju.
Izvor: Hunt.io

Lažna ChatGPT stranica za preuzimanje zaražava Windows i Mac korisnike stealerima
Malwarebytes je upozorio da lažna stranica koja oponaša ChatGPT desktop aplikaciju distribuira malware i Windows i macOS korisnicima. Windows posjetitelji dobivaju loader za krađu vjerodajnica, dok Mac korisnici dobivaju Odyssey Stealer, što pokazuje da napadači i dalje uspješno monetiziraju povjerenje u popularne AI brendove.
Izvor: Malwarebytes

GREYVIBE pokazuje kako ruski akteri uvode AI u stvarne operacije
WithSecure je povezao GREYVIBE s upornim operacijama protiv Ukrajine i s Ukrajinom povezanih meta te naveo da skupina koristi AI i u razvojnoj i u operativnoj fazi kampanja. To ga čini jednim od konkretnijih aktualnih primjera state aligned aktivnosti u kojima AI prelazi granicu eksperimentiranja i postaje stvaran operativni alat.
Izvor: WithSecure

Phisheri zloupotrebljavaju Google AppSheet obavijesti za krađu računa
Kaspersky je upozorio da napadači koriste Google AppSheet za slanje phishing poruka s legitimno izgledajućih Google povezanih adresa. Takve poruke djeluju uvjerljivije i korisnicima ih je teže prepoznati kao prijetnju jer ne dolaze s očito lažnog izvora.
Izvor: Kaspersky

Sigurnosne vijesti tjedna [05/26-3]

PAN-OS nulti dan pod aktivnom eksploatacijom daje root pristup firewallima
Palo Alto Networks potvrdio je aktivnu eksploataciju CVE-2026-0300 u PAN-OS Captive Portal komponenti. Propust omogućuje neautentificirano udaljeno izvršavanje koda s root ovlastima na izloženim firewallima, što ga čini jednim od najhitnijih perimetarskih rizika u ovom ciklusu.
Izvor: Palo Alto Networks

Cisco SD-WAN propust za zaobilaženje autentifikacije aktivno se iskorištava
Cisco Talos izvijestio je o tekućoj eksploataciji CVE-2026-20182 u Catalyst SD-WAN kontrolerima. Uspješan napad omogućuje udaljenom napadaču zaobilaženje prijave i dobivanje administratorskih ovlasti, a propust je već dodan u CISA KEV katalog.
Izvor: Cisco Talos

Kritična cPanel ranjivost iskorištava se protiv državnih i MSP okruženja
Napadači su vrlo brzo nakon objave počeli iskorištavati CVE-2026-41940 u cPanel i WHM sustavima. Aktivnost je zahvatila državna, vojna, hosting i managed service provider okruženja, što pokazuje koliko je brzo authentication bypass propust pretvoren u stvarne operacije.
Izvor: The Hacker News

DigiCert je opozvao lažno izdane certifikate nakon proboja internog portala
DigiCert je opozvao certifikate do kojih su napadači došli nakon kompromitacije support sustava i prodora u interni portal povezan s obradom certifikata. Incident je posebno važan jer uključuje EV code signing certifikate i izravno pogađa povjerenje u procese izdavanja i potpisivanja softvera.
Izvor: SecurityWeek

Copy Fail Linux root propust prešao je u stvarnu eksploataciju
CVE-2026-31431, poznat kao Copy Fail, prešao je iz objave u potvrđenu eksploataciju i dodan je u CISA KEV katalog. Propust pogađa glavne Linux distribucije i lokalnom napadaču može omogućiti podizanje ovlasti do root razine.
Izvor: SecurityWeek

NGINX CVE-2026-42945 već se iskorištava u stvarnim napadima
Napadači ciljaju CVE-2026-42945, heap buffer overflow u NGINX rewrite modulu, samo nekoliko dana nakon javne objave. Propust može rušiti worker procese, a u nekim konfiguracijama može omogućiti i udaljeno izvršavanje koda na internetom izloženim sustavima.
Izvor: The Hacker News

Mini Shai Hulud pogodio je više od 320 npm paketa
Nova Mini Shai Hulud supply chain kampanja zahvatila je više od 320 npm paketa, zajedno s GitHub Actions komponentama i jednom VS Code ekstenzijom. Kompromitacija se širila kroz povjerenje u maintainere i downstream ovisnosti, čime se utjecaj proširio na developerska i CI okruženja.
Izvor: SecurityWeek

GitHub je potvrdio proboj u 3.800 repozitorija preko zlonamjerne VS Code ekstenzije
GitHub je objavio da je približno 3.800 internih repozitorija bilo dostupno nakon kompromitacije uređaja jednog zaposlenika preko trojanizirane VS Code ekstenzije. Slučaj pokazuje da developerski alati i dalje predstavljaju izravan put do internih okruženja visoke vrijednosti.
Izvor: BleepingComputer

OpenAI je potvrdio interni utjecaj TanStack supply chain napada
OpenAI je objavio da su dva uređaja zaposlenika bila pogođena širom TanStack i Mini Shai Hulud kampanjom. Tvrtka je navela da nema dokaza o utjecaju na korisničke podatke, produkcijske sustave, intelektualno vlasništvo ili objavljeni softver, ali je ipak preventivno rotirala certifikate.
Izvor: OpenAI

Checkmarx Jenkins AST plugin kompromitiran je u supply chain napadu
Checkmarx je upozorio da je zlonamjerna verzija njegova Jenkins AST plugina objavljena na Jenkins Marketplaceu. Problem je važan zato što se plugin koristi izravno u build i scanning procesima, pa kompromitacija pogađa vjerodajnice i CI workflowe.
Izvor: SecurityWeek

DAEMON Tools Lite supply chain napad potvrdio je sam vendor
DAEMON Tools potvrdio je neovlašteno zadiranje u svoju build infrastrukturu nakon što su kompromitirani instaleri distribuirani sa službene stranice. Potpisani instalacijski paketi pouzdanog proizvođača pretvoreni su u kanal za isporuku malwarea, što ovaj slučaj čini jasnim supply chain incidentom.
Izvor: DAEMON Tools

JDownloader stranica hakirana je za distribuciju Python RAT instalera
Službena JDownloader stranica bila je kompromitirana i korisnike je preusmjeravala na zlonamjerne Windows i Linux instalere, pri čemu je Windows varijanta isporučivala Python RAT. Još jednom se pokazalo da su download portali visoko vrijedna meta za zamjenu legitimnih instalera zlonamjernima.
Izvor: BleepingComputer

Instructure je postigao dogovor nakon incidenta s krađom Canvas podataka
Instructure je objavio da je postigao dogovor s akterom iza incidenta kako bi spriječio objavu ukradenih podataka. Slučaj je i dalje vrlo važan zbog opsega pogođenih škola i sveučilišta te osjetljivosti izloženih obrazovnih podataka.
Izvor: The Hacker News

Drupal kritičan SQL injection propust sada je meta stvarnih napada
Drupal je upozorio da napadači pokušavaju iskorištavati CVE-2026-9082, vrlo kritičan SQL injection problem koji pogađa PostgreSQL implementacije. Projekt je već ranije upozorio da bi eksploatacija mogla početi unutar sati ili dana, a ti pokušaji sada su potvrđeni.
Izvor: BleepingComputer

Kritičan Ollama propust može izložiti 300.000 AI implementacija krađi tajni
Istraživači su upozorili da kritična neautentificirana ranjivost u Ollami može otkriti promptove, poruke, API ključeve, tokene i druge osjetljive podatke iz približno 300.000 implementacija. Budući da se Ollama široko koristi kao self hosted inference engine, problem ima izravnu važnost za stvarna enterprise AI okruženja.
Izvor: SecurityWeek

Sigurnosne vijesti tjedna [05/26-2]

PAN-OS nulti dan pod aktivnom eksploatacijom daje root pristup firewallima
Palo Alto Networks navodi da se CVE-2026-0300 u PAN-OS Captive Portal komponenti aktivno iskorištava i omogućuje neautentificirano udaljeno izvršavanje koda s root ovlastima. Budući da pogađa internetom izložene firewalle, riječ je o jednom od najhitnijih problema ovog tjedna.
Izvor: Palo Alto Networks

Cisco SD-WAN propust za zaobilaženje autentifikacije aktivno se iskorištava
Cisco Talos izvijestio je o tekućoj eksploataciji CVE-2026-20182 u Catalyst SD-WAN kontrolerima, gdje napadači mogu zaobići prijavu i dobiti administratorske ovlasti. CISA je propust već dodala u KEV katalog, što potvrđuje stvaran operativni rizik.
Izvor: Cisco Talos

Kritična cPanel ranjivost iskorištava se protiv državnih i MSP okruženja
Napadači su vrlo brzo nakon objave počeli iskorištavati CVE-2026-41940 u cPanel i WHM sustavima, pri čemu su mete uključivale državna, vojna, hosting i MSP okruženja. Propust omogućuje zaobilaženje prijave i povišenu kontrolu nad izloženim upravljačkim sučeljima.
Izvor: The Hacker News

DigiCert je opozvao lažno izdane certifikate nakon napada na support portal
DigiCert je opozvao certifikate do kojih su napadači došli nakon kompromitacije support sustava i prodora u interni portal za izdavanje i obradu certifikata. Incident je posebno važan jer uključuje EV code signing certifikate i samu jezgru povjerenja u proces izdavanja certifikata.
Izvor: SecurityWeek

Copy Fail Linux root propust prešao je u stvarnu eksploataciju
CVE-2026-31431, poznat kao Copy Fail, prešao je iz javne objave u potvrđenu eksploataciju i već je dodan u CISA KEV katalog. Propust pogađa glavne Linux distribucije i omogućuje lokalno podizanje ovlasti do root razine.
Izvor: SecurityWeek

Vendor je potvrdio supply chain napad na DAEMON Tools Lite
DAEMON Tools potvrdio je neovlašteno zadiranje u svoju infrastrukturu nakon što su trojanizirani instaleri distribuirani sa službene stranice. Riječ je o izravnoj supply chain kompromitaciji jer su potpisani instalacijski paketi pouzdanog proizvođača pretvoreni u kanal za isporuku malwarea.
Izvor: DAEMON Tools

Službeni SAP npm paketi kompromitirani su u TeamPCP supply chain kampanji
Više službenih SAP CAP i Cloud MTA npm paketa kompromitirano je zlonamjernim instalacijskim ponašanjem osmišljenim za krađu vjerodajnica i zloupotrebu developerskih okruženja. Budući da se ti paketi nalaze u normalnim CI/CD procesima, utjecaj se širi daleko izvan jednog kompromitiranog računala.
Izvor: Socket

Checkmarx Jenkins AST plugin kompromitiran je u supply chain napadu
Checkmarx je upozorio da je zlonamjerna verzija njegova Jenkins AST plugina objavljena na Jenkins Marketplaceu kao dio supply chain napada. Problem je važan zato što se plugin izravno ugrađuje u build i sigurnosne scanning procese.
Izvor: SecurityWeek

OpenAI je potvrdio utjecaj TanStack supply chain napada na dva interna uređaja
OpenAI je naveo da su dva uređaja zaposlenika bila pogođena širom TanStack i Mini Shai Hulud kampanjom, što je pokrenulo rotaciju certifikata i dodatne mjere zaštite repozitorija. Tvrtka navodi da nema dokaza o utjecaju na korisničke podatke, produkcijske sustave ili objavljeni softver.
Izvor: OpenAI

Instructure je sklopio dogovor nakon incidenta s krađom Canvas podataka
Instructure je objavio da je postigao dogovor s akterom iza incidenta kako bi spriječio objavu ukradenih podataka povezanih s tisućama škola i sveučilišta. Slučaj ostaje vrlo važan zbog opsega pogođenih obrazovnih okruženja i osjetljivosti izloženih podataka.
Izvor: The Hacker News

JDownloader stranica hakirana je za distribuciju Python RAT instalera
Službena JDownloader stranica bila je kompromitirana i korisnike je preusmjeravala na zlonamjerne Windows i Linux instalere, pri čemu je Windows varijanta isporučivala Python RAT. Još jednom se pokazalo da su download portali meta visoke vrijednosti za supply chain zloupotrebu.
Izvor: BleepingComputer

Breeze Cache WordPress dodatak nalazi se pod aktivnom eksploatacijom
Napadači aktivno iskorištavaju kritičan propust za učitavanje proizvoljnih datoteka u Breeze Cache dodatku za WordPress. Uz stotine tisuća aktivnih instalacija i mogućnost udaljenog izvršavanja koda, propust je vrlo brzo prešao iz objave u široku napadačku aktivnost.
Izvor: Wordfence

Burst Statistics propust može napadačima omogućiti potpuno predstavljanje WordPress administratora
Kritičan authentication bypass u Burst Statistics dodatku može neautentificiranim napadačima omogućiti predstavljanje administratora tijekom REST API zahtjeva ako znaju valjano administratorsko korisničko ime. U najgorem slučaju to može biti dovoljno za stvaranje novog administratorskog računa bez prethodnog pristupa.
Izvor: Wordfence

Kritičan Ollama propust može izložiti 300.000 AI implementacija krađi tajni
Sigurnosni istraživači upozorili su da kritična neautentificirana ranjivost u Ollami može otkriti promptove, poruke, API ključeve i druge osjetljive podatke iz približno 300.000 implementacija. Budući da se Ollama široko koristi kao self hosted inference engine, nalaz ima izravnu važnost za stvarna enterprise AI okruženja.
Izvor: SecurityWeek

NGINX Rift otkriva 18 godina star propust s mogućim RCE ishodom
Istraživači su objavili više memory corruption problema u NGINX-u, uključujući kritičan heap overflow u rewrite modulu koji može dovesti do rušenja servisa i, u nekim konfiguracijama, udaljenog izvršavanja koda. Problem se posebno izdvaja zbog internetske izloženosti NGINX-a i starosti i rasprostranjenosti ranjive logike.
Izvor: depthfirst

Kako jedan kompromitirani korisnički račun postaje ulaz u sustav

U većini slučajeva napad ne počinje s tehničkim iskorištavanjem sustava. Ne počinje s exploitom niti s kompleksnim alatima. Počinje s pristupom. Najčešće kroz korisnički račun koji izgleda potpuno legitimno. Razlog je jednostavan. Korisnički računi su i dalje najlakša ulazna točka. Jedna lozinka korištena na više mjesta, jedan phishing mail ili jedan kompromitirani vanjski servis mogu biti dovoljni. Kada napadač dobije pristup računu, prvi korak ne izgleda kao napad. Login ide kroz standardni kanal. VPN, web aplikaciju, cloud servis. Nema očitog alarma. Aktivnost izgleda kao normalan korisnik. U tom trenutku ključno pitanje nije kako je račun kompromitiran, nego što taj račun može.

U praksi to vrlo brzo postane problem. Pristup mailu omogućuje reset drugih računa. Pristup SharePointu ili Driveu daje uvid u dokumente s internim informacijama. VPN pristup znači ulaz u internu mrežu. Pristup ticketing sustavu otkriva kako je IT organiziran i gdje se nalaze kritične točke. To nije ranjivost. To je normalno poslovno okruženje. Problem nastaje kada se takav pristup počne koristiti iz perspektive napadača.

Jedan od scenarija koji redovito vidimo tijekom testiranja počinje vrlo jednostavno. Korisnički račun ima pristup internom dokumentu. Dokument sadrži naming konvenciju servera, interne URL-ove i reference na servise. Iz toga se može prepoznati struktura sustava i identificirati ključni dijelovi okruženja, uključujući domensku infrastrukturu. Nakon toga testiranje postaje ciljano. Ako naming otkriva obrasce, traže se sustavi koji odgovaraju tim obrascima. Ako postoje reference na interne servise, ispituje se njihova dostupnost i konfiguracija. Ono što je na početku bio običan dokument postaje osnova za daljnje kretanje kroz sustav. Drugi čest scenarij uključuje file share. Korisnik ima pristup direktoriju u kojem se nalaze konfiguracijske datoteke. Jedna od njih sadrži connection string ili reference na drugi sustav. Time se otvara put prema dodatnom pristupu koji nije bio vidljiv izvan tog konteksta. Treći scenarij, koji je u praksi često najproblematičniji, uključuje lateralno kretanje unutar interne mreže. Kompromitirani korisnički račun ima VPN pristup. Nakon spajanja, napadač vidi interne servise koji nisu izloženi javno. Ako je segmentacija mreže/sustava slaba, moguće je pristupiti dodatnim sustavima bez posebnih ograničenja.

U takvim situacijama često se pokaže da jedan korisnički račun ima pristup na više servisa nego što bi trebao. Ponekad to uključuje i sustave povezane s autentikacijom ili upravljanjem korisnicima. Ne zato što je to planirano, nego zato što se pristupi kroz vrijeme šire, a rijetko se revidiraju. To je trenutak kada kompromitirani račun prestaje biti samo korisnički račun i postaje ulazna točka za širi napad. Važno je naglasiti da u svim tim scenarijima ništa nije “probijeno” na klasičan način. Pristup postoji, aktivnosti izgledaju legitimno i sustav se ponaša kako je dizajniran. Problem nije u jednoj grešci, nego u načinu na koji su pristupi i informacije raspoređeni.

Upravo u takvim situacijama AresISEC u praksi najčešće otkriva stvarnu izloženost. Ne kroz jednu kritičnu ranjivost, nego kroz povezivanje više manjih slabosti koje zajedno čine stvaran napadni put. Ključna stvar koju organizacije često podcjenjuju je da lozinka sama po sebi rijetko predstavlja problem. Problem je što ta lozinka otključava. Ako jedan korisnički račun omogućava pristup dokumentima, konfiguracijama i internim servisima bez jasnih ograničenja, tada njegova kompromitacija postaje početak puno većeg problema. Zato se sigurnost ne može svesti samo na jačinu lozinke ili MFA. To su važni elementi, ali ne rješavaju pitanje strukture sustava i stvarne izloženosti.

Stvarna sigurnost počinje razumijevanjem kako se sustav može koristiti na način koji nije bio planiran.

Izvori:
MITRE ATT&CK – Enterprise Matrix
Verizon – Data Breach Investigations Report

Znate li što jedan korisnički račun u vašem sustavu zapravo može dohvatiti i koliko daleko taj pristup ide?

Sigurnosne vijesti tjedna [05/26-1]

PAN-OS nulti dan pod aktivnom eksploatacijom daje root pristup firewallima
Palo Alto Networks upozorio je da se CVE-2026-0300 u PAN-OS Captive Portal komponenti aktivno iskorištava i omogućuje neautentificirano udaljeno izvršavanje koda s root ovlastima. Budući da pogađa internetom izložene firewalle, riječ je o jednom od najprioritetnijih problema ovog tjedna.
Izvor: Palo Alto Networks

cPanel ranjivost iskorištava se protiv državnih i MSP okruženja
Napadači su vrlo brzo nakon objave počeli iskorištavati CVE-2026-41940 u cPanel i WHM sustavima, ciljajući državne, vojne, hosting i managed service provider mreže. Propust omogućuje zaobilaženje prijave i napadačima daje povišenu kontrolu nad izloženim upravljačkim sučeljima.
Izvor: The Hacker News

DigiCert je opozvao lažno izdane certifikate nakon napada na support portal
DigiCert je opozvao certifikate do kojih su napadači došli nakon kompromitacije sustava putem zlonamjernog payloada dostavljenog support timu, a zatim i prodora u interni support portal. Incident je posebno važan jer uključuje EV Code Signing certifikate i pokazuje slabosti u internim procesima povjerenja.
Izvor: SecurityWeek

Copy Fail Linux root propust prešao je iz objave u stvarnu eksploataciju
CVE-2026-31431, poznat kao Copy Fail, već je dodan u CISA KEV katalog nakon opažene ograničene eksploatacije u stvarnim napadima. Propust pogađa Linux sustave u više glavnih distribucija i lokalnim napadačima može omogućiti podizanje ovlasti do root razine.
Izvor: SecurityWeek

Vendor je potvrdio supply chain napad na DAEMON Tools
DAEMON Tools Lite potvrdio je neovlašteno zadiranje u svoju infrastrukturu nakon što su trojanizirani instaleri distribuirani s legitimne stranice. Riječ je o klasičnom supply chain incidentu jer su digitalno potpisani instalacijski paketi pouzdanog proizvođača pretvoreni u kanal za isporuku malwarea.
Izvor: DAEMON Tools

Službeni SAP npm paketi kompromitirani su u TeamPCP supply chain napadu
Više službenih SAP CAP i Cloud MTA npm paketa kompromitirano je zlonamjernim kodom koji preuzima i izvršava neprovjerene binarne datoteke. Budući da se ti paketi koriste u stvarnim developerskim i CI/CD procesima, incident izravno ugrožava vjerodajnice, tokene i build okruženja.
Izvor: Socket

Zloupotreba AI supply chaina pogađa Hugging Face i OpenClaw ekosustave
Acronis je izvijestio o aktivnoj zloupotrebi AI platformi poput Hugging Facea i OpenClawa te identificirao više od 575 zlonamjernih skillova unutar OpenClaw ekosustava. Kampanja pokazuje kako napadači koriste povjerenje u AI alate i workflowe za distribuciju malwarea bez oslanjanja samo na klasični phishing.
Izvor: Acronis

Trellix je potvrdio proboj u repozitorij izvornog koda
Trellix je objavio da je dio njegova repozitorija izvornog koda bio predmet neovlaštenog pristupa i da istraga još traje uz podršku forenzičkih stručnjaka. Iako tvrtka navodi da zasad nema dokaza o utjecaju na release ili distribucijske procese, riječ je o važnom incidentu jer pogađa velikog sigurnosnog proizvođača.
Izvor: Trellix

Microsoft je opisao veliku code of conduct phishing kampanju s krađom AiTM tokena
Microsoft je opisao veliku phishing kampanju koja koristi mamce povezane s pravilima ponašanja, višefaznu isporuku i legitimne email servise za krađu vjerodajnica i sesijskih tokena. Kampanja je ciljala desetke tisuća korisnika i pokazuje koliko je enterprise stil phishinga postao uvjerljiviji i sofisticiraniji.
Izvor: Microsoft Security Blog

Zloupotreba Google AppSheeta povezana je s kompromitacijom 30.000 Facebook računa
Istraživači su pratili phishing operaciju koja je koristila Google AppSheet za slanje autentificiranih poruka i kompromitaciju više od 30.000 Facebook računa. Kampanja se istaknula time što je zloupotrijebila pouzdanu Google infrastrukturu radi bolje isporuke i zaobilaženja uobičajenih email provjera povjerenja.
Izvor: Guardio

Breeze Cache WordPress dodatak nalazi se pod aktivnom eksploatacijom
Napadači aktivno iskorištavaju kritičan propust za učitavanje proizvoljnih datoteka u Breeze Cache dodatku za WordPress. Uz stotine tisuća aktivnih instalacija i mogućnost udaljenog izvršavanja koda, riječ je o propustu koji je vrlo brzo prešao iz objave u široku napadačku aktivnost.
Izvor: Wordfence

MetInfo CMS RCE propust iskorištava se u stvarnim napadima
Napadači iskorištavaju CVE-2026-29014, kritičan neautentificiran PHP code injection propust u MetInfo CMS-u. Ranjivost omogućuje udaljeno izvršavanje koda putem posebno oblikovanih zahtjeva i već je privukla stvarnu napadačku aktivnost.
Izvor: The Hacker News

Kritičan Ollama propust može izložiti 300.000 AI implementacija krađi tajni
Kritična ranjivost u Ollami može udaljenim neautentificiranim napadačima omogućiti izvlačenje promptova, poruka, API ključeva i drugih tajni iz približno 300.000 izloženih implementacija. Budući da se Ollama široko koristi kao self hosted inference engine, problem izravno pogađa stvarna enterprise AI okruženja, a ne samo testne instalacije.
Izvor: SecurityWeek

Talos je razotkrio kineski APT UAT-8302 i njegov arsenal malwarea
Cisco Talos opisao je UAT-8302 kao APT skupinu povezanu s Kinom, fokusiranu na stjecanje i održavanje dugotrajnog pristupa državnim i povezanim organizacijama. Skupina koristi krađu vjerodajnica, open source alate i vlastiti malware te pokazuje tehnička preklapanja s drugim sofisticiranim kineskim prijetnjama.
Izvor: Cisco Talos

Kritični vm2 sandbox escape propusti omogućuju izvršavanje koda na hostu
Kritični propusti u vm2 Node.js sandbox biblioteci omogućuju napadačima bijeg iz sandboxa i izvršavanje koda na host sustavu. Problem je posebno važan zato što se vm2 često koristi upravo za pokretanje nepouzdanog JavaScripta, pa propust pogađa samu sigurnosnu granicu na koju se organizacije oslanjaju.
Izvor: GitHub Security Advisories

Sigurnosne vijesti tjedna [04/26-4]

Kritičan cPanel i WHM propust zaobilaženja prijave traži hitnu ručnu nadogradnju
Kritičan cPanel i WHM propust označen kao CVE-2026-41940 može napadačima omogućiti pristup upravljačkoj ploči bez autentifikacije. Zakrpa traži ručno dohvaćanje ispravljene verzije, pa su javno izložena hosting okruženja hitan prioritet.
Izvor: BleepingComputer

Microsoft potvrdio aktivnu eksploataciju Windows Shell propusta CVE-2026-32202
Microsoft je ažurirao upozorenje i označio CVE-2026-32202 kao ranjivost koja se aktivno iskorištava u stvarnim napadima. Problem proizlazi iz nepotpune zakrpe ranijeg lanca eksploatacije i može prisiliti sustav na autentifikaciju te otkriti osjetljive informacije kroz zlonamjerne LNK datoteke.
Izvor: The Hacker News

Službeni SAP CAP i Cloud MTA npm paketi kompromitirani u supply chain napadu
Više službenih SAP npm paketa povezanih s CAP i Cloud MTA ekosustavom kompromitirano je zlonamjernom preinstall rutinom koja preuzima i pokreće Bun te snažno zamagljen payload. Budući da se ti paketi koriste u stvarnim developerskim i CI/CD procesima, incident izravno ugrožava tokene, vjerodajnice i enterprise build okruženja.
Izvor: Socket

WordPress dodatak Quick Page Post Redirect godinama je skrivao uspavani backdoor
Istraživači su otkrili da je dodatak Quick Page Post Redirect još od 2021. sadržavao skriveni backdoor koji pogađa više od 70.000 WordPress stranica. Kod je operateru omogućavao ubacivanje proizvoljnog sadržaja ili koda, dok je istodobno ostajao nevidljiv prijavljenim administratorima, što ovaj slučaj pretvara u dugotrajnu supply chain kompromitaciju.
Izvor: BleepingComputer

Qinglong propusti za udaljeno izvršavanje koda iskorištavaju se za cryptomining
Napadači iskorištavaju propuste zaobilaženja autentifikacije u Qinglongu kako bi dobili neautentificirano udaljeno izvršavanje koda i postavili .fullgc cryptominer na izložene poslužitelje. Slučaj je važan zato što je popularan developerski alat s velikom rasprostranjenošću vrlo brzo prešao iz objavljenog propusta u stvarnu zloupotrebu, uz vrlo malo vidljivosti izvan kineskog jezičnog prostora.
Izvor: Snyk

Hugging Face LeRobot PolicyServer izložen je neautentificiranom RCE napadu
CVE-2026-25874 pogađa LeRobot PolicyServer jer preko gRPC sučelja deserijalizira nepouzdane pickle podatke. Neautentificirani napadač koji može dohvatiti servis može izvršavati proizvoljne naredbe operativnog sustava na sustavima koji mogu imati pristup GPU resursima, robotskom hardveru i povlaštenim internim mrežama.
Izvor: Resecurity

UAT-4356 i dalje cilja Cisco Firepower uređaje pomoću FIRESTARTER backdoora
Cisco Talos navodi da UAT-4356 i dalje iskorištava ranije poznate propuste na Firepower FXOS uređajima i postavlja FIRESTARTER backdoor. Implant može pokretati proizvoljan shellcode unutar LINA procesa, što još jednom potvrđuje da su perimetarski uređaji meta visoke vrijednosti za špijunažu i dugotrajnu prisutnost.
Izvor: Cisco Talos

Akteri povezani s Kinom koriste skrivene mreže kompromitiranih rubnih uređaja
CISA i partnerske agencije upozorile su da akteri povezani s Kinom strateški koriste velike skrivene mreže sastavljene od kompromitiranih routera i drugih rubnih uređaja. Takve mreže podržavaju cijeli lanac napada, od izviđanja do eksfiltracije, te su osmišljene tako da budu jeftine, odvojive od počinitelja i teške za blokiranje statičkim indikatorima.
Izvor: CISA

GopherWhisper koristi Slack, Discord i Outlook u kineski usmjerenoj špijunaži
ESET je objavio detalje o dosad nepoznatoj skupini GopherWhisper povezanoj s Kinom koja je ciljala državnu instituciju u Mongoliji alatima većinom pisanima u Gou. Skupina je zloupotrebljavala Slack, Discord, Outlook i servise za dijeljenje datoteka za upravljanje i eksfiltraciju, čime se zlonamjeran promet lakše uklapao u legitimne cloud aktivnosti.
Izvor: ESET

Vercel pronašao dodatne kompromitirane račune u incidentu povezanom s Context.ai
Vercel navodi da je proširena istraga otkrila dodatne kompromitirane korisničke račune povezane s travanjskim incidentom. Tvrtka tvrdi da je upad započeo kompromitacijom u Context.ai, nakon čega je napadač preko računa jednog zaposlenika uspio pristupiti neosjetljivim varijablama okruženja.
Izvor: Vercel

Bitwarden CLI kompromitiran je u tekućoj Checkmarx supply chain kampanji
Zlonamjerni paket @bitwarden/cli 2026.4.0 sadržavao je logiku za krađu vjerodajnica i daljnje širenje povezanu sa širom Checkmarx kampanjom. Iako je problem bio ograničen na npm CLI paket, tijekom uobičajene instalacije ugrozio je developerske tajne, CI artefakte i cloud vjerodajnice.
Izvor: Socket

Device code phishing skočio je na više od 7 milijuna napada u četiri tjedna
Barracuda navodi da je device code phishing premašio 7 milijuna napada u samo četiri tjedna, uglavnom zahvaljujući kitu EvilTokens. Tehnika zloupotrebljava legitimne OAuth prijavne tokove za uređaje i napadačima daje trajan odobren pristup bez oslanjanja isključivo na klasične lažne stranice za prijavu.
Izvor: Barracuda

BlackFile je povezan s vishing iznudama usmjerenima na maloprodaju i ugostiteljstvo
BlackFile je povezan s krađom podataka i iznudama koje započinju telefonskim pozivima u kojima se napadači lažno predstavljaju kao interna IT podrška. Kampanje ciljaju maloprodajne i ugostiteljske organizacije, kradu vjerodajnice i jednokratne kodove, a zatim prelaze na višemilijunske ucjene.
Izvor: BleepingComputer

Coinbase Cartel gradi kampanju iznude protiv više od 100 tvrtki na ukradenim infostealer vjerodajnicama
Hudson Rock navodi da je Coinbase Cartel već preuzeo odgovornost za više od 100 žrtava, pri čemu se oslanja na stare infostealer vjerodajnice umjesto na nove exploite ili klasičan ransomware. Skupina cilja cloud okruženja, FTP sustave i servise za prijenos datoteka te se oslanja na čistu krađu podataka i iznudu umjesto enkripcije.
Izvor: InfoStealers

GlassWorm je aktivirao 73 Open VSX sleeper ekstenzije
Socket navodi da se GlassWorm kampanja proširila na 73 imitacijske ekstenzije na Open VSX tržištu, od kojih su neke kasnije aktivirane kao vozila za isporuku malwarea. Taj obrazac je važan zato što ekstenzije u početku mogu izgledati benigno, steći povjerenje, a zatim iskoristiti uobičajeni put nadogradnje ili transitive odnose među ekstenzijama za isporuku zlonamjernog sadržaja.
Izvor: Socket

Sigurnosne vijesti tjedna [04/26-3]

Vercel je otkrio dodatne kompromitirane račune u incidentu povezanom s Context.ai
Vercel je objavio da je tijekom proširene istrage otkrio dodatni skup pogođenih korisničkih računa nakon pregleda novih indikatora kompromitacije i pristupa varijablama okruženja. Incident je krenuo od kompromitacije povezane s Context.ai i pokazuje kako izloženost kroz identitete i OAuth aplikacije treće strane može prerasti u problem za cijelu cloud platformu.
Izvor: Vercel

Bitwarden CLI kompromitiran u tekućoj Checkmarx supply chain kampanji
Zlonamjerni npm paket kratko je bio distribuiran kao @bitwarden/cli verzija 2026.4.0 i sadržavao je logiku za krađu vjerodajnica te širenje prema CI okruženjima. Bitwarden navodi da je utjecaj ograničen na taj kompromitirani CLI release te da nema dokaza o kompromitaciji korisničkih vault podataka ili produkcijskih sustava.
Izvor: JFrog

Kina koristi skrivene mreže sastavljene od kompromitiranih rubnih uređaja
CISA i NCSC upozorili su da akteri povezani s Kinom sve češće koriste covert mreže sastavljene od kompromitiranih routera i drugih rubnih uređaja za izviđanje, isporuku, upravljanje i eksfiltraciju podataka. Upozorenje naglašava jeftin i lako prilagodljiv infrastrukturni model koji brzo mijenja oblik i time slabi vrijednost statičnog blokiranja.
Izvor: CISA

UAT 4356 nastavlja ciljati Cisco Firepower uređaje pomoću FIRESTARTER backdoora
Cisco Talos izvijestio je o nastavku aktivnosti protiv Firepower uređaja koji koriste FXOS, pri čemu UAT 4356 iskorištava n day ranjivosti i postavlja FIRESTARTER backdoor. Time mrežni perimetarski uređaji postaju izravna meta za špijunažu i dugotrajnu prisutnost napadača.
Izvor: Cisco Talos

Breeze Cache WordPress dodatak aktivno se iskorištava za učitavanje datoteka
Napadači aktivno iskorištavaju kritičan propust u Breeze Cache dodatku koji omogućuje neautentificirano učitavanje datoteka i može dovesti do udaljenog izvršavanja koda na ranjivim WordPress stranicama. Za iskorištavanje mora biti uključena određena opcija dodatka, ali prijelaz s objave propusta na stvarne napade ovu temu stavlja u hitan prioritet.
Izvor: BleepingComputer

Marimo RCE dodan je u KEV dok se eksploatacija nastavlja
CISA je dodala CVE-2026-39987 u marimu u Known Exploited Vulnerabilities katalog nakon što su napadači prešli s objave na eksploataciju unutar samo nekoliko sati. Propust omogućuje udaljeno izvršavanje koda bez autentifikacije na izloženim notebook instancama, a već je povezan i s daljnjom malware aktivnošću.
Izvor: CISA

BRIDGE:BREAK propusti izlažu serial to IP pretvarače u OT i zdravstvenim sustavima
Istraživači su objavili 22 ranjivosti u Lantronix i Silex serial to IP pretvaračima te identificirali tisuće javno izloženih uređaja. Budući da ti uređaji često povezuju starije serijske sustave s modernim mrežama, kompromitacija može omogućiti manipulaciju podacima, lateralno kretanje i prekide rada u OT i zdravstvenim okruženjima.
Izvor: Forescout

Void Dokkaebi pretvara lažne razgovore za posao u napade na developerski lanac opskrbe
Trend Micro navodi da skupina Void Dokkaebi povezana sa Sjevernom Korejom i dalje koristi lažne recruiterske procese kako bi navela developere na pokretanje zlonamjernih repozitorija. Važan pomak je to što jedno kompromitirano developersko računalo može postati polazište za trovanje internih repozitorija i daljnje širenje kroz legitimne doprinose kodu.
Izvor: Trend Micro

GopherWhisper zloupotrebljava Slack, Discord i Outlook u napadima na Mongoliju
ESET je objavio detalje o dosad nepoznatoj skupini povezanoj s Kinom pod nazivom GopherWhisper koja cilja mongolske državne institucije. Akteri koriste alatni skup pisan u Gou i legitimne cloud servise poput Slacka, Discorda, Outlooka i file.io za upravljanje i eksfiltraciju, čime zlonamjerni promet lakše stapaju s normalnim radom sustava.
Izvor: ESET

Device code phishing dosegao je 7 milijuna napada u četiri tjedna
Barracuda navodi da je u samo četiri tjedna zabilježila više od 7 milijuna device code phishing napada, što pokazuje brz rast OAuth preuzimanja računa. Tehnika zloupotrebljava legitimne tokove prijave za uređaje kako bi napadač dobio trajno odobren pristup bez klasične krađe i ponovne upotrebe lozinke.
Izvor: Barracuda

Kritičan propust u protobuf.js omogućuje izvršavanje JavaScript koda
Javno je objavljen proof of concept za kritičan protobuf.js propust koji može dovesti do izvršavanja JavaScript koda zbog nesigurnog dinamičkog generiranja koda. Budući da se biblioteka široko koristi u Node.js aplikacijama i cloud okruženjima, potencijalni doseg problema znatno je širi od tipične ranjivosti u jednom paketu.
Izvor: BleepingComputer

Kritičan SGLang RCE omogućuje izvršavanje koda kroz zlonamjerne GGUF modele
Kritična ranjivost označena kao CVE-2026-5760 može omogućiti udaljeno izvršavanje koda na SGLang sustavima kroz posebno pripremljene GGUF model datoteke. Problem je važan zato što je SGLang popularan sloj za posluživanje LLM i multimodalnih radnih opterećenja, pa izravno pogađa AI infrastrukturu.
Izvor: The Hacker News

Lotus Wiper cilja energetski i komunalni sektor u Venezueli
Kaspersky je opisao destruktivnu kampanju koja koristi dosad nepoznati wiper pod nazivom Lotus Wiper protiv energetskog i komunalnog sektora u Venezueli. Lanac napada uključuje skripte koje pripremaju okruženje, slabe obranu i koordiniraju završnu destruktivnu fazu kroz mrežu.
Izvor: Kaspersky

ZionSiphon pokazuje OT fokus na izraelske vodne sustave
Darktrace je analizirao ZionSiphon, skup OT malware alata osmišljen za ciljanje izraelskih sustava za obradu vode i desalinizaciju. Kombinacija perzistencije, USB širenja, ICS skeniranja i logike za sabotažu povezanih s kontrolama klora i tlaka čini ga posebno važnim izvan uobičajenih IT malware priča.
Izvor: Darktrace

Akteri nadzora iskorištavaju mobilnu signalling infrastrukturu telekoma
Citizen Lab je otkrio dvije telecom nadzorne kampanje i povezao stvarni napadački promet s mobilnom signalling infrastrukturom operatora. Izvješće pokazuje kako sumnjivi komercijalni pružatelji nadzora mogu zloupotrebljavati telecom interconnect sustave za prikriveno praćenje lokacije koje može trajati godinama bez jasne vidljivosti za branitelje ili korisnike.
Izvor: Citizen

Sigurnosne vijesti tjedna [04/26-2]

Adobe zakrpao Reader nulti dan iskorištavan mjesecima
Adobe je izdao hitne zakrpe za CVE-2026-34621 nakon potvrde da se propust aktivno iskorištavao više mjeseci. Ranjivost može dovesti do udaljenog izvršavanja koda kada žrtva otvori zlonamjerni PDF, a pogađa Acrobat i Reader na Windows i macOS sustavima.
Izvor: SecurityWeek

Microsoft zakrpao SharePoint nulti dan i još 168 novih ranjivosti
Microsoftov travanjski Patch Tuesday ispravio je 169 ranjivosti, uključujući aktivno iskorištavani SharePoint propust CVE-2026-32201. Uvrštavanje u KEV katalog pokazuje da je riječ o prioritetnom problemu unatoč nižoj ocjeni ozbiljnosti od mnogih drugih ranjivosti iz istog ciklusa zakrpa.
Izvor: The Hacker News

Cisco zakrpao kritične ISE i Webex propuste koji traže hitnu reakciju
Cisco je ispravio kritične ranjivosti u Identity Services Engineu i Webex Servicesu koje mogu omogućiti izvršavanje koda ili neautentificirano lažno predstavljanje korisnika. Za Webex propust korisnici moraju napraviti dodatne korake sanacije i ne mogu se osloniti samo na Cisco pozadinsku zakrpu.
Izvor: SecurityWeek

Backdoor u Smart Slider 3 Pro dodatku distribuiran kroz službeni kanal nadogradnje
Napadači su kompromitirali Nextendovu infrastrukturu za nadogradnje i distribuirali trojaniziranu verziju Smart Slider 3 Pro dodatka za WordPress i Joomla stranice. Zlonamjerna verzija dodala je backdoor mehanizme, skriveni administratorski pristup i perzistenciju, pa je obična nadogradnja postala supply chain incident.
Izvor: Patchstack

CPUID stranica posluživala malware kroz CPU Z i HWMonitor preuzimanja
Napadači su zloupotrijebili CPUID infrastrukturu za preuzimanje i korisnike CPU Z i HWMonitor alata preusmjeravali na trojanizirane datoteke. Budući da je zlonamjerni sadržaj dolazio sa službene stranice, incident pokazuje koliko su pouzdani softverski portali i dalje privlačna supply chain meta.
Izvor: BleepingComputer

Iranski akteri ciljaju internetom izložene Rockwell i Allen Bradley PLC uređaje
Zajedničko američko upozorenje navodi da iranski povezani akteri iskorištavaju internetom izložene OT sustave, posebno Rockwell Automation i Allen Bradley PLC uređaje. Aktivnost je povezana s ometanjem rada i manipulacijom industrijskim upravljačkim okruženjima, a ne samo s izviđanjem.
Izvor: CISA

Marimo pre auth RCE prešao je iz objave u eksploataciju unutar nekoliko sati
CVE-2026-39987 u marimu iskorišten je unutar nekoliko sati nakon javne objave, a kasnije je korišten i za isporuku NKAbuse malwarea kroz Hugging Face infrastrukturu. Propust omogućuje neautentificirano udaljeno izvršavanje koda na izloženim notebook instancama.
Izvor: Sysdig

Fortinet FortiClient EMS nulti dan dodan u KEV nakon aktivne eksploatacije
Fortinet je hitno izdao zakrpe za CVE-2026-35616 nakon što je potvrđena aktivna eksploatacija u stvarnim napadima. Propust pogađa FortiClient EMS i može dovesti do udaljenog izvršavanja koda bez autentifikacije, što izložene upravljačke poslužitelje čini neposrednim rizikom.
Izvor: SecurityWeek

AI omogućeni device code phishing gura OAuth zloupotrebu na veću skalu
Microsoft je uočio automatiziranu device code phishing kampanju koja koristi dinamičko generiranje koda i automatizaciju procesa za veći uspjeh napada i širu zloupotrebu OAuth device toka. Kampanja pokazuje kako napadači tehniku koja je ranije bila uža pretvaraju u ponovljiv obrazac za preuzimanje računa u velikom opsegu.
Izvor: Microsoft Security Blog

Napadači love ključne Node.js održavatelje nakon Axios kompromitacije
Istraživanja nakon Axios incidenta upućuju na širu kampanju usmjerenu na pouzdane Node.js i npm održavatelje kroz ciljane metode društvenog inženjeringa. Rizik se ne zaustavlja na jednom paketu jer kompromitirani račun održavatelja može progurati zlonamjeran kod u široko korištene ovisnosti i razvojne procese.
Izvor: Socket

Autor: AresISEC Security Team