Cisco zakrpao Catalyst SD WAN zero day ranjivost koju iskorištavaju vrlo sofisticirani napadači
Cisco je objavio hitne zakrpe za kritičnu zero day ranjivost u Catalyst SD WAN sustavu označenu kao CVE-2026-20127 s CVSS ocjenom 10. Propust se može udaljeno iskoristiti za zaobilaženje autentifikacije i stjecanje administratorskih privilegija na ranjivim uređajima. Ranjivost pogađa mehanizam autentifikacije peeringa u Catalyst SD WAN Controlleru i Catalyst SD WAN Manageru te omogućuje neautentificiranim napadačima slanje posebno oblikovanih zahtjeva.
Izvor: SecurityWeek

Microsoft upozorava developere na lažne Next.js repozitorije za posao koji isporučuju in memory malware
Koordinirana kampanja usmjerena na developere koristi zlonamjerne repozitorije prerušene u legitimne Next.js projekte i tehničke zadatke kako bi navela žrtve na izvršavanje koda i uspostavu trajnog pristupa kompromitiranim računalima. Aktivnost se uklapa u širi obrazac mamaca vezanih uz zapošljavanje koji se uklapaju u uobičajene developerske procese i povećavaju vjerojatnost kompromitacije.
Izvor: The Hacker News

Nova Dohdoor malware kampanja cilja obrazovanje i zdravstvo
Cisco Talos identificirao je kampanju koja isporučuje ranije nepoznati backdoor nazvan Dohdoor. Malware koristi DNS over HTTPS za command and control komunikaciju te može reflektivno preuzimati i izvršavati dodatne zlonamjerne komponente. Kampanja cilja organizacije u sektoru obrazovanja i zdravstva u Sjedinjenim Državama kroz višefazni lanac napada.
Izvor: Cisco Talos

UnsolicitedBooker cilja telekom tvrtke u Srednjoj Aziji backdoorima LuciDoor i MarsSnake
Skupina UnsolicitedBooker zabilježena je u napadima na telekomunikacijske tvrtke u Kirgistanu i Tadžikistanu. Napadi uključuju implementaciju dvaju backdoora nazvanih LuciDoor i MarsSnake. Istraživači navode korištenje više jedinstvenih alata kineskog podrijetla.
Izvor: The Hacker News

Zlonamjerni NuGet paket cilja Stripe
Istraživači su otkrili zlonamjerni NuGet paket koji imitira Stripe.net, popularan paket s više od 70 milijuna preuzimanja. Aktivnost dolazi nakon ranijih kampanja usmjerenih na developerski ekosustav povezan s kripto platformama i dodatno potvrđuje rizike u opskrbnom lancu softverskih paketa.
Izvor: ReversingLabs

Telegram kanali otkrivaju brzu zloupotrebu SmarterMail ranjivosti
Istraživači su na podzemnim Telegram kanalima i forumima uočili kako napadači u roku od nekoliko dana od objave ranjivosti dijele i prodaju PoC eksploite te ukradene administratorske pristupe povezane s CVE-2026-24423 i CVE-2026-23760. Riječ je o kritičnim propustima koji omogućuju udaljeno izvršavanje koda i zaobilaženje autentifikacije na javno izloženim mail serverima.
Izvor: BleepingComputer

AI u sredini komunikacije: zloupotreba AI servisa kao C2 proxyja
Istraživanje pokazuje da napadači sve češće koriste legitimne AI servise kao komunikacijske kanale za command and control infrastrukturu. Budući da su AI domene često dozvoljene u korporativnom prometu, postaju atraktivan vektor za prikrivanje zlonamjernih aktivnosti. AI se koristi i za generiranje phishing sadržaja, izradu skripti, analizu ukradenih podataka te razvoj cjelovitih C2 frameworka.
Izvor: Check Point Research

Firebase pogrešna konfiguracija izložila 300 milijuna poruka AI aplikacije
Nezaštićena Firebase baza podataka izložila je približno 300 milijuna poruka više od 25 milijuna korisnika aplikacije Chat & Ask AI. Aplikacija funkcionira kao pristupnik prema više AI modela, što znači da je jedan tehnički propust imao širok utjecaj na privatnost korisnika diljem svijeta.
Izvor: Hackread

CISA upozorava na kritičnu ranjivost u Honeywell CCTV sustavima
CISA je izdala upozorenje o kritičnoj ranjivosti CVE-2026-1670 u više Honeywell CCTV proizvoda. Propust omogućuje neautentificiranom napadaču promjenu e-mail adrese za oporavak lozinke te preuzimanje korisničkog računa i pristup video prijenosima. Ranjivost je ocijenjena s CVSS 9.8.
Izvor: BleepingComputer

GrayCharlie kompromitira odvjetničke web stranice u mogućem supply chain napadu
Skupina GrayCharlie kompromitirala je WordPress stranice i ubrizgavala zlonamjerni JavaScript koji preusmjerava korisnike na NetSupport RAT payloadove putem lažnih browser update stranica. Identificiran je klaster kompromitiranih odvjetničkih web stranica u SAD-u, što upućuje na mogući supply chain napad preko zajedničkog IT pružatelja usluga.
Izvor: Recorded Future

UNC6201 iskorištava Dell RecoverPoint for Virtual Machines zero-day ranjivost
Mandiant i Google Threat Intelligence Group identificirali su zero-day iskorištavanje kritične ranjivosti u Dell RecoverPoint for Virtual Machines sustavu, označene kao CVE-2026-22769 (CVSS 10.0). Prema analizi, prijetnja UNC6201, povezana s Kinom, iskorištava propust najmanje od sredine 2024. godine za lateralno kretanje, održavanje perzistencije i implementaciju zlonamjernih alata uključujući SLAYSTYLE, BRICKSTORM i novi backdoor GRIMBOLT.
Izvor: Google Cloud Blog

Spam kampanja zloupotrebljava Atlassian Jira Cloud za ciljanje vlada i korporacija
Napadači su koristili Atlassian Jira Cloud i povezani e-mail sustav za provođenje automatiziranih spam kampanja, zaobilazeći tradicionalne e-mail sigurnosne kontrole iskorištavanjem reputacije legitimne domene. Kampanja je bila aktivna od kraja prosinca 2025. do kraja siječnja 2026. te je ciljala državne i korporativne subjekte, usmjeravajući žrtve prema investicijskim prijevarama i online kasino stranicama.
Izvor: Trend Micro

Ranjivosti u popularnim PDF platformama omogućile preuzimanje računa i eksfiltraciju podataka
Istraživači su otkrili više od deset ranjivosti u PDF platformama Foxit i Apryse koje su mogle omogućiti preuzimanje korisničkih računa, eksfiltraciju podataka i druge napade. Propusti su odgovorno prijavljeni proizvođačima, koji su objavili sigurnosne zakrpe.
Izvor: SecurityWeek

Notepad++ zakrpao kompromitirani mehanizam nadogradnje korišten za distribuciju ciljanog malwarea
Notepad++ je objavio sigurnosnu nadogradnju verzije 8.9.2 kojom se adresira zloupotreba mehanizma nadogradnje od strane naprednog aktera iz Kine. Nova implementacija uvodi dodatne provjere digitalno potpisanih instalacijskih datoteka i XML odgovora s poslužitelja kako bi se spriječila isporuka ciljanog zlonamjernog softvera.
Izvor: The Hacker News

Flaws u popularnim VSCode ekstenzijama izlažu developere napadima
Ranjivosti visoke i kritične razine u popularnim Visual Studio Code ekstenzijama, preuzetim više od 128 milijuna puta, mogle su omogućiti krađu lokalnih datoteka i udaljeno izvršavanje koda. Pogođene su ekstenzije Code Runner, Markdown Preview Enhanced i Microsoft Live Preview. Istraživači navode da na ranije prijave proizvođači nisu odgovorili.
Izvor: BleepingComputer

BeyondTrust zakrpao kritičnu RCE ranjivost
BeyondTrust je objavio zakrpe za kritičnu ranjivost u proizvodima Remote Support (RS) i Privileged Remote Access (PRA) koja omogućuje neautentificirano udaljeno izvršavanje koda. Ranjivost CVE-2026-1731 (CVSS 9.9) može se iskoristiti putem posebno oblikovanih zahtjeva za izvršavanje naredbi operativnog sustava. Eksploatacija ne zahtijeva autentifikaciju ni interakciju korisnika te može dovesti do kompromitacije sustava, neovlaštenog pristupa i eksfiltracije podataka. Procjenjuje se da je oko 8.500 javno dostupnih on-prem RS instalacija potencijalno izloženo riziku.
Izvor: SecurityWeek

Fortinet zakrpao kritičnu SQL Injection ranjivost
Fortinet je izdao sigurnosne nadogradnje za CVE-2026-21643 (CVSS 9.1), kritičnu SQL Injection ranjivost u FortiClientEMS sustavu. Propust omogućuje neautentificiranim napadačima izvršavanje proizvoljnog koda ili naredbi putem posebno izrađenih HTTP zahtjeva. Organizacije koje koriste ranjive verzije FortiClientEMS-a trebaju hitno primijeniti zakrpe kako bi spriječile kompromitaciju sustava.
Izvor: The Hacker News

Warlock ransomware kompromitirao SmarterTools putem neažuriranog SmarterMail servera
SmarterTools je potvrdio da je ransomware grupa Warlock (Storm-2603) kompromitirala njihovu mrežu iskorištavanjem neažurirane SmarterMail instance. Jedan virtualni server nije bio uključen u standardni proces nadogradnje, što je omogućilo inicijalni pristup napadačima. Tvrtka je navela da poslovne aplikacije i korisnički podaci nisu kompromitirani.
Izvor: The Hacker News

Najveća višestruka kibernetička operacija protiv APT aktera UNC3886 u Singapuru
Singapurske vlasti objavile su da je APT skupina UNC3886 provela ciljanu kampanju protiv telekomunikacijskog sektora. Meta napada bili su svi glavni telekom operateri – M1, SIMBA Telecom, Singtel i StarHub. Operacija odgovora uključivala je više državnih agencija s ciljem zaštite kritične infrastrukture i ograničavanja daljnjih aktivnosti napadača.
Izvor: Cyber Security Agency of Singapore

Novi SSHStalker Linux botnet koristi stare eksploatacijske tehnike
Novoidentificirani Linux botnet nazvan SSHStalker koristi eksploatacijske tehnike stare više od 15 godina, uključujući IRC-based upravljanje i 19 Linux kernel eksploita iz 2009. godine. Botnet implementira cron mehanizme za perzistenciju te watchdog model za ponovno pokretanje zlonamjernih procesa. Iako artefakti podsjećaju na ranije rumunjske botnet kampanje poput Outlaw i Dota, izravna povezanost nije potvrđena.
Izvor: SecurityWeek

UNC1069 cilja kriptovalutni sektor novim alatima i socijalnim inženjeringom potpomognutim AI-jem
Sjevernokorejski akteri prijetnji nastavljaju razvijati svoje taktike kako bi ciljali kriptovalutni i decentralizirani financijski (DeFi) sektor. Mandiant je nedavno istražio upad u fintech organizaciju iz tog sektora, pripisan skupini UNC1069, financijski motiviranom akteru aktivnom najmanje od 2019. godine. Istraga je otkrila prilagođeni upad koji je rezultirao implementacijom sedam različitih obitelji zlonamjernog softvera, uključujući nove alate za prikupljanje podataka s računala i o žrtvi: SILENCELIFT, DEEPBREATH i CHROMEPUSH. Napad se oslanjao na socijalni inženjering koji je uključivao kompromitirani Telegram račun, lažni Zoom sastanak, ClickFix infekcijski vektor te navodnu upotrebu AI-generiranog videa za obmanu žrtve.
Izvor: Google Cloud

TeamPCP crv iskorištava cloud infrastrukturu za izgradnju kriminalne infrastrukture
Istraživači kibernetičke sigurnosti upozorili su na masovnu kampanju koja je sustavno ciljala cloud-native okruženja radi postavljanja zlonamjerne infrastrukture za daljnje iskorištavanje. Aktivnost, zabilježena oko 25. prosinca 2025. i opisana kao “worm-driven”, iskorištavala je izložene Docker API-je, Kubernetes klastere, Ray nadzorne ploče i Redis poslužitelje, zajedno s ranije otkrivenom React2Shell ranjivošću (CVE-2025-55182, CVSS ocjena 10.0). Kampanja se pripisuje klasteru prijetnji poznatom kao TeamPCP (poznatom i kao DeadCatx3, PCPcat, PersyPCP i ShellForce). TeamPCP je aktivan barem od studenoga 2025., a njihova Telegram grupa trenutno ima više od 700 članova, gdje objavljuju ukradene podatke žrtava iz Kanade, Srbije, Južne Koreje, Ujedinjenih Arapskih Emirata i SAD-a. Detalji o akteru prvi su put dokumentirani u prosincu 2025. pod nazivom Operation PCPcat.
Izvor: The Hacker News

Nedavne SolarWinds ranjivosti potencijalno iskorištavane kao zero-day
Napadi usmjereni na internetom dostupne SolarWinds Web Help Desk (WHD) instance radi početnog pristupa mogli su iskoristiti nedavno zakrpane ranjivosti kao zero-day, navodi Microsoft. Kao dio višefaznog upada u prosincu 2025., napadači su kompromitirali ranjive WHD implementacije kako bi pokrenuli PowerShell i preuzeli dodatne zlonamjerne terete. Microsoft, međutim, nije mogao potvrditi jesu li napadači iskoristili nove ili starije SolarWinds ranjivosti koje su već poznate kao aktivno iskorištavane. Prema navodima, kompromitirani proizvod bio je ranjiv na CVE-2025-40551 i CVE-2025-40536, zakrpane u siječnju 2026., ali i na CVE-2025-26399, ispravljenu još u rujnu 2025.
Izvor: SecurityWeek

Fortinet priznaje da je FortiGate SSO ranjivost i dalje iskorištiva unatoč prosinačkoj zakrpi
Fortinet je potvrdio da napadači aktivno zaobilaze prosinačku zakrpu za kritičnu FortiCloud SSO ranjivost nakon što su korisnici prijavili sumnjive prijave na uređajima koji su navodno bili u potpunosti ažurirani. U novom savjetovanju Fortinet navodi da je identificiran novi napadački put za zlouporabu SAML-baziranog SSO-a u FortiOS-u, čak i na sustavima na kojima je već primijenjena ranija zakrpa. Otkriće slijedi izvješća da su FortiGate vatrozidi potajno rekonfigurirani putem kompromitiranih SSO računa, pri čemu su napadači mijenjali postavke, stvarali administratorske backdoor račune i iznosili konfiguracijske datoteke.
Izvor: The Register

Njemačka upozorava na otmice Signal računa usmjerene na visoke dužnosnike
Njemačka domaća obavještajna služba upozorava na sumnju da državno sponzorirani akteri ciljaju visoko rangirane pojedince putem phishing napada u aplikacijama za razmjenu poruka poput Signala. Napadi kombiniraju socijalni inženjering i legitimne funkcionalnosti kako bi se ukrali podaci političara, vojnih dužnosnika, diplomata i istraživačkih novinara u Njemačkoj i diljem Europe. Sigurnosno upozorenje temelji se na obavještajnim podacima Saveznog ureda za zaštitu ustava (BfV) i Saveznog ureda za informacijsku sigurnost (BSI). Ključna značajka ove kampanje jest da se ne koristi zlonamjerni softver niti se iskorištavaju tehničke ranjivosti same komunikacijske usluge, navode agencije.
Izvor: BleepingComputer

Lov na OpenClaw izloženosti: CVE-2026-25253 u javno dostupnim AI agent gatewayima
Kao odgovor na nedavno objavljenu ranjivost CVE-2026-25253, istraživački tim analizirao je kako se ova slabost pojavljuje u stvarnim okruženjima i što se može identificirati na razini cijelog interneta korištenjem Hunt[.]io platforme. Analiza se fokusirala na javno izložene frameworke za automatizaciju preglednika pogođene CVE-2026-25253, uključujući OpenClaw i njegove forkove Clawdbot i Moltbot, koji izlažu web sučelja za upravljanje i pohranjuju API vjerodajnice za više AI servisa. Kada se implementiraju bez odgovarajućih kontrola pristupa, ova sučelja su izravno dostupna s javnog interneta.
Izvor: Hunt.io

Novi ClickFix varijant “CrashFix” isporučuje Python RAT
U siječnju 2026. Microsoft Defender Experts identificirali su novu evoluciju kampanje ClickFix. Ažurirana taktika namjerno ruši preglednike žrtava, a zatim pokušava navesti korisnike da izvrše zlonamjerne naredbe pod izlikom vraćanja normalne funkcionalnosti. Ova varijanta predstavlja značajnu eskalaciju ClickFix tehnika, kombinirajući ometanje korisnika i socijalni inženjering kako bi se povećala uspješnost izvršavanja uz smanjeno oslanjanje na klasične exploit tehnike. Novi obrazac ponašanja nazvan je CrashFix te odražava širi porast socijalnog inženjeringa temeljenog na preglednicima, zloupotrebe legitimnih OS alata i Python payloadova.
Izvor: Microsoft Security Blog

Brew Hijack: isporuka malwarea kroz Homebrew core tap
Istraživanje je pokazalo da se unutar Homebrew core cask sustava i dalje mogu pronaći paketi koji se preuzimaju putem nekriptiranog HTTP protokola bez ikakve provjere integriteta. Otkriveno je 20 caskova u službenom Homebrew repozitoriju koji su podložni trivijalnim man-in-the-middle napadima, bez potrebe za exploitima ili povišenim privilegijama. To omogućuje napadačima na mrežnom putu da zamijene legitimne pakete zlonamjernim sadržajem.
Izvor: Koi.ai

Eksploatacija React Server Componentsa konsolidirana na dva IP izvora
Dva mjeseca nakon objave ranjivosti CVE-2025-55182, aktivnost iskorištavanja React Server Components značajno se konsolidirala. Telemetrija GreyNoisea pokazuje da dva IP izvora sada generiraju 56% svih zabilježenih pokušaja eksploatacije, u usporedbi s ranijih više od tisuću jedinstvenih izvora. Dominantni izvori koriste različite post-eksploatacijske payloadove, uključujući isporuku kriptomajnera i otvaranje reverse shell veza, što ukazuje na organiziranije i ciljanije operacije.
Izvor: GreyNoise

Sigurnosni incident u Flickru povezan s vanjskim e-mail sustavom
Platforma za dijeljenje fotografija Flickr obavijestila je korisnike o sigurnosnom incidentu koji je doveo do izlaganja osobnih podataka. Incident je povezan s ranjivošću u sustavu vanjskog pružatelja e-mail usluga, koja je mogla omogućiti neovlašteni pristup korisničkim informacijama. Izloženi podaci uključuju imena, e-mail adrese, korisnička imena, tipove računa, IP adrese, opću lokaciju i podatke o aktivnosti na Flickru. Pristup pogođenom sustavu ugašen je u roku od nekoliko sati od saznanja za incident.
Izvor: SecurityWeek_

Kritična ranjivost za bijeg iz sandboxa otkrivena u popularnoj vm2 NodeJS biblioteci
Kritična ranjivost u vm2 Node.js sandbox biblioteci, praćena pod oznakom CVE-2026-22709, omogućuje bijeg iz sandboxa i izvršavanje proizvoljnog koda na podložnom host sustavu. Open-source vm2 biblioteka stvara sigurno okruženje za izvršavanje nepouzdanog JavaScript koda bez pristupa datotečnom sustavu. Povijesno se koristila u SaaS platformama koje podržavaju izvršavanje korisničkih skripti, online alatima za pokretanje koda, chatbotovima i open-source projektima, s primjenom u više od 200.000 GitHub projekata. Projekt je ukinut 2023. godine zbog ponovljenih sandbox escape ranjivosti te se smatra nesigurnim za izvršavanje nepouzdanog koda.
Izvor: BleepingComputer

Fortinet blokira aktivno iskorištavani FortiCloud SSO zero-day dok se ne objavi zakrpa
Fortinet je potvrdio novu kritičnu zero-day ranjivost zaobilaženja autentikacije u FortiCloud single sign-on (SSO) mehanizmu, praćenu pod oznakom CVE-2026-24858, koja se aktivno iskorištava. Tvrtka navodi da je ublažila napade blokiranjem FortiCloud SSO veza s uređaja koji koriste ranjive verzije firmwarea. Propust omogućuje napadačima zloupotrebu FortiCloud SSO-a za stjecanje administratorskog pristupa FortiOS, FortiManager i FortiAnalyzer uređajima registriranima na druge korisnike, čak i kada su ti uređaji bili u potpunosti zakrpani protiv prethodno objavljene ranjivosti.
Izvor: BleepingComputer

CISA dodaje pet aktivno iskorištavanih ranjivosti u KEV katalog
CISA je dodala pet novih ranjivosti u svoj katalog Known Exploited Vulnerabilities (KEV) na temelju dokaza o aktivnom iskorištavanju. Novo dodani propusti uključuju ranjivosti koje pogađaju Linux kernel, Microsoft Office, GNU InetUtils i SmarterTools SmarterMail, što dodatno naglašava kontinuirano iskorištavanje dugogodišnjih i nedavno otkrivenih slabosti u široko korištenom softveru.
Izvor: CISA

Istraga međunarodne “ATM jackpotting” sheme rezultirala dodatnim optužnicama
Savezni veliki porotni sud u okrugu Nebraska podigao je dodatnu optužnicu protiv 31 osobe zbog njihove uloge u velikoj zavjeri usmjerenoj na implementaciju malwarea i krađu milijuna dolara s bankomata u Sjedinjenim Američkim Državama, poznatoj kao “ATM jackpotting”. Prethodno je već bilo optuženo 56 osoba. Slučaj uključuje državljane Venezuele i Kolumbije, uključujući pripadnike skupine Tren de Aragua, te obuhvaća optužbe za zavjeru radi bankovne prijevare, provale u banke, računalne prijevare i nanošenje štete zaštićenim računalnim sustavima.
Izvor: U.S. Department of Justice

Povreda podataka u SoundCloudu izložila e-mail adrese milijuna korisnika
U prosincu 2025. SoundCloud je objavio da je otkrio neautoriziranu aktivnost koja je napadačima omogućila povezivanje javno dostupnih podataka profila s e-mail adresama za približno 20% korisnika. Izloženi podaci uključivali su desetke milijuna e-mail adresa, korisnička imena i povezane metapodatke profila. Napadači su naknadno pokušali ucjenu prije nego što su sljedećeg mjeseca javno objavili skup podataka.
Izvor: BleepingComputer

Kritična CERT-In upozorenja – siječanj 2026.: ranjivosti u SAP-u, Microsoftu i Atlassianu
Siječanj 2026. bio je mjesec buđenja za enterprise sigurnosne timove. U samo jednom tjednu CERT-In je objavio tri upozorenja visoke ozbiljnosti koja su otkrila kritične ranjivosti u SAP-u, Microsoftu i Atlassianu – platformama koje pokreću financijske susteme, identitetske slojeve, developerske pipelineove i alate za suradnju u većini organizacija. Ovo nisu bile teorijske greške. Jedna Windows ranjivost već se aktivno iskorištavala u napadima, dok su druge omogućavale udaljeno izvršavanje koda, eskalaciju privilegija, krađu podataka i potpuni preuzimanje sustava. Ako vaša organizacija koristi SAP S/4HANA, Windows, Azure, Jira, Confluence ili Bitbucket, ovo nije bio patch ciklus koji se mogao ignorirati. Članak razlaže što je bilo pogođeno, kako su napadači mogli zloupotrijebiti ove ranjivosti i što sigurnosni timovi moraju učiniti kako bi ostali ispred prijetnji prije nego što se one pretvore u povrede sigurnosti.
Izvor: Security Boulevard

Hakeri ciljaju Cisco Unified CM zero-day ranjivost
Cisco je u srijedu objavio zakrpe za još jednu zero-day ranjivost koju aktivno ciljaju prijetiteljski akteri. Ranjivost, praćena pod oznakom CVE-2026-20045 i klasificirana kao kritična, pogađa više Cisco komunikacijskih proizvoda, uključujući Cisco Unified Communications Manager (CM) i njegovu Session Management Edition (SME), Unified CM IM & Presence Service, Unity Connection i Webex Calling Dedicated Instance. Prema Ciscu, udaljeni neautentificirani napadač može iskoristiti CVE-2026-20045 za izvršavanje zlonamjernih naredbi na operativnom sustavu uređaja.
Izvor: SecurityWeek

Fortinet priznaje da je FortiGate SSO ranjivost i dalje iskoristiva unatoč zakrpi iz prosinca
Fortinet je potvrdio da napadači aktivno zaobilaze prosinačku zakrpu za kritičnu FortiCloud SSO (single sign-on) ranjivost, nakon što su korisnici prijavili sumnjive prijave na uređajima koji su navodno u potpunosti ažurirani. U novom sigurnosnom upozorenju Fortinet navodi da je identificiran novi vektor napada koji zloupotrebljava SAML-bazirani SSO u FortiOS-u, čak i na sustavima na koje je prethodna zakrpa već primijenjena. Ova objava slijedi izvješća da su FortiGate firewall uređaji tiho rekonfigurirani putem kompromitiranih SSO računa, pri čemu su napadači mijenjali postavke vatrozida, stvarali backdoor administratorske račune i eksfiltrirali konfiguracijske datoteke.
Izvor: The Register

Nova ransomware skupina tvrdi da je kompromitirala KPMG Nizozemska
KPMG Nizozemska navodno je postala najnovija meta ransomware skupine Nova, nakon tvrdnji da su osjetljivi podaci kompromitirani i eksfiltrirani. Incident su 23. siječnja 2026. zabilježile službe za praćenje ransomware aktivnosti, pri čemu napadači tvrde da se kompromitacija dogodila istog dana. Nova je navodno postavila rok od deset dana za uspostavu kontakta i pregovore o otkupnini, što je uobičajena taktika ransomware skupina za vršenje pritiska na velike organizacije. Skupina je stekla reputaciju ciljanjem profesionalnih uslužnih tvrtki i financijskog sektora koji upravljaju visoko vrijednim i povjerljivim klijentskim informacijama.
Izvor: Dig.watch

Ranjivosti sustava kontrole pristupa omogućile otključavanje vrata u velikim europskim tvrtkama
Ranjivosti koje su istraživači otkrili u Dormakaba sustavima fizičke kontrole pristupa mogle su omogućiti hakerima udaljeno otključavanje vrata u velikim organizacijama. Sigurnosne propuste otkrili su stručnjaci tvrtke SEC Consult, u Dormakaba Exos centralnom upravljačkom softveru, hardverskom upravitelju pristupa i registracijskim jedinicama koje omogućuju ulaz putem tipkovnice, čitača otiska prsta ili čip kartice. Identificirano je više vrsta ranjivosti, uključujući hardkodirane vjerodajnice i enkripcijske ključeve, slabe lozinke, nedostatak autentikacije, nesigurno generiranje lozinki, lokalnu eskalaciju privilegija, izloženost podataka, path traversal i command injection propuste.
Izvor: SecurityWeek

Microsoft zakrpa aktivno iskorištavanu zero-day ranjivost u Officeu
Microsoft je objavio hitne izvanredne sigurnosne zakrpe za ispravljanje zero-day ranjivosti visoke ozbiljnosti u Microsoft Officeu koja se aktivno iskorištava u napadima. Ranjivost zaobilaženja sigurnosne značajke, praćena pod oznakom CVE-2026-21509, pogađa više verzija Officea, uključujući Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 i Microsoft 365 Apps for Enterprise (cloud pretplatničku uslugu). Kako je navedeno u današnjem sigurnosnom upozorenju, zakrpe za Microsoft Office 2016 i 2019 još nisu dostupne te će biti objavljene čim to bude moguće.
Izvor: BleepingComputer

Gotovo 800.000 Telnet poslužitelja izloženo udaljenim napadima
Internet sigurnosna organizacija Shadowserver prati gotovo 800.000 IP adresa s Telnet otiscima uslijed aktivnih napada koji iskorištavaju kritičnu ranjivost zaobilaženja autentikacije u GNU InetUtils telnetd poslužitelju. Sigurnosni propust (CVE-2026-24061) pogađa GNU InetUtils verzije od 1.9.3 do 2.7, a zakrpan je u verziji 2.8 objavljenoj 20. siječnja. Ranjivost omogućuje udaljenim napadačima zaobilaženje autentikacije zloupotrebom načina na koji telnetd prosljeđuje korisnički kontrolirane varijable okruženja procesu prijave.
Izvor: BleepingComputer

Posebno upozorenje: zlonamjerni “supergrupni” SLSH cilja više od 100 organizacija putem interaktivnog phishinga
Trenutačno je aktivna masovna kampanja krađe identiteta koja cilja Okta Single Sign-On (SSO) i druge SSO platforme u više od 100 visokovrijednih organizacija. Silent Push identificirao je infrastrukturu koja odgovara SLSH-u, savezu skupina Scattered Spider, LAPSUS$ i ShinyHunters. Kampanja se oslanja na ručno vođene vishing napade i interaktivne phishing panele kako bi se zaobišle čak i snažno utvrđene MFA zaštite.
Izvor: Silent Push

Supply chain kompromitacija eScan antivirusa isporučila digitalno potpisani malware
Kritična supply chain kompromitacija koja pogađa eScan antivirus tvrtke MicroWorld Technologies identificirana je 20. siječnja 2026., nakon što su zlonamjerne nadogradnje distribuirane putem legitimne infrastrukture za ažuriranje proizvođača. Zlonamjerni paketi navodno su bili digitalno potpisani kompromitiranim eScan certifikatom, čime su zaobiđeni standardni mehanizmi povjerenja. Nakon instalacije, malware je uspostavio perzistenciju, omogućio udaljeni pristup i spriječio daljnja ažuriranja sustava.
Izvor: Infosecurity Magazine

Nova Fake CAPTCHA kampanja isporučuje Amatera Stealer
Blackpoint SOC identificirao je novu Fake CAPTCHA kampanju koja zloupotrebljava potpisanu Microsoft Application Virtualization (App-V) skriptu kao living-off-the-land binary (LOLBIN) za posredno izvršavanje koda putem legitimne Windows komponente. Napad pažljivo provjerava ponašanje korisnika i redoslijed izvršavanja, a u slučaju neispunjenih uvjeta proces se neprimjetno zaustavlja. Ovaj lanac isporuke pokazuje kako je sam tijek izvršavanja postao ključni dio suvremenog malware pristupa.
Izvor: Blackpoint Cyber

VoidLink: dokazi da je započela era naprednog AI-generiranog malwarea
Check Point Research (CPR) smatra da je započela nova era AI-generiranog malwarea. VoidLink predstavlja prvi jasno dokumentirani primjer ove ere, kao istinski napredan malware framework koji je gotovo u potpunosti razvijen umjetnom inteligencijom, vjerojatno pod vodstvom jedne osobe. Do sada su čvrsti dokazi o AI-generiranom malwareu uglavnom bili povezani s neiskusnim prijetiteljskim akterima, kao u slučaju FunkSeca, ili s malwareom koji je u velikoj mjeri replicirao funkcionalnosti postojećih open-source alata. VoidLink je prvi dokazani slučaj koji pokazuje koliko opasan AI može postati u rukama sposobnijih malware developera. Propusti u operativnoj sigurnosti (OPSEC) developera VoidLinka otkrili su razvojne artefakte koji pružaju jasne dokaze da je malware pretežno proizveden AI-pokretanim razvojem, pri čemu je prvi funkcionalni implant nastao u manje od tjedan dana.
Izvor: Check Point Research

Analiza i iskorištavanje CVE-2025-62507: udaljeno izvršavanje koda u Redis sustavu
Nedavno otkrivena stack buffer overflow ranjivost u Redisu, dodijeljena oznaka CVE-2025-62507, ispravljena je u verziji 8.3.2. Ranjivost je objavljena s visokom razinom ozbiljnosti i dodijeljenom CVSS v3 ocjenom 8.8. Prema službenom upozorenju, „korisnik može pokrenuti XACKDEL naredbu s više ID-eva i izazvati stack buffer overflow, što potencijalno može dovesti do udaljenog izvršavanja koda”. Iako su ranjivosti vezane uz oštećenje memorije danas znatno teže za iskorištavanje zbog brojnih sigurnosnih mehanizama, povijesno su često izravno vodile do RCE-a. Budući da je ranjivost ocijenjena kao visoka, ali ne i kritična, JFrog Security Research tim odlučio je dodatno istražiti je li udaljeno izvršavanje koda i dalje lako ostvarivo u 2026. godini.
Izvor: JFrog

DNS OverDoS: jesu li privatni endpointi previše privatni?
Otkriven je aspekt arhitekture Azure Private Endpointa koji može izložiti Azure resurse napadima uskraćivanja usluge (DoS). U ovom članku istražuje se kako namjerne i nenamjerne radnje mogu dovesti do ograničenog pristupa Azure resursima putem Azure Private Link mehanizma. Problem je otkriven tijekom analize nepravilnog ponašanja u Azure testnim okruženjima. Istraživanje pokazuje da više od 5% Azure storage računa trenutačno radi s konfiguracijama koje su podložne ovom DoS problemu. Posljedice mogu biti višestruke, uključujući onemogućavanje rada storage računa, što može uzrokovati pad Azure Functions unutar FunctionAppsa i neuspjeh njihovih nadogradnji, kao i DoS napade na Key Vaultove, s lančanim učinkom na procese koji ovise o pohranjenim tajnama.
Izvor: Palo Alto Networks Unit 42

Everest ransomware tvrdi da je kompromitirao McDonald’s India i ukrao korisničke podatke
Zloglasna ransomware skupina Everest tvrdi da je kompromitirala McDonald’s India, indijsku podružnicu američkog lanca brze hrane. Tvrdnja je objavljena na službenom dark web leak portalu skupine 20. siječnja 2026., uz navode da je eksfiltrirano čak 861 GB korisničkih podataka i internih dokumenata. Kako navodi Hackread.com, skupina je objavila i interne snimke zaslona kako bi potkrijepila autentičnost tvrdnji. Analiza prikazanih materijala otkriva financijska izvješća iz razdoblja 2023.–2026., revizijske zapise, tablice praćenja troškova, datoteke migracije ERP sustava, cjenovne podatke i druge osjetljive interne komunikacije.
Izvor: Hackread

ChainLeak: kritične ranjivosti AI frameworka omogućuju curenje podataka i preuzimanje clouda
Zafran Labs identificirao je dvije kritične ranjivosti u Chainlitu, široko korištenom open-source AI frameworku. Ove ranjivosti pogađaju AI sustave izložene internetu koji su aktivno implementirani u više industrija, uključujući velike organizacije. Propusti omogućuju napadačima curenje API ključeva cloud okruženja i krađu osjetljivih datoteka (CVE-2026-22218), kao i izvođenje Server-Side Request Forgery (SSRF) napada protiv poslužitelja koji hostaju AI aplikacije (CVE-2026-22219). Ranjivosti se mogu aktivirati bez ikakve interakcije korisnika. Zafran je potvrdio njihovu prisutnost u stvarnim, internetom izloženim aplikacijama koje koriste velike organizacije.
Izvor: Zafran Labs