Hned 6 nových chyb ve známých softwarech už útočníci zneužívají. Varování přichází pozdě

Americká CISA zařadila 13. dubna 2026 do aktuálně využívaných slabin sedm CVE, přičemž u některých útoků běžely už těsně předtím.

Zdroj fotografie: Unsplash

Aktualizace federálního katalogu Known Exploited Vulnerabilities zasáhla produkty, které denně drží v chodu tisíce organizací: Fortinet FortiClient EMS, Microsoft Exchange Server, Windows, Adobe Acrobat a Reader a čtrnáct let starou knihovnu VBA. Formální zařazení do KEV ale přišlo v momentě, kdy nejkritičtější z chyb, neautentizovaná SQL injection ve FortiClient EMS, byla prokazatelně zneužívána minimálně tři týdny. Příběh této dubnové vlny tak není jen o seznamu záplat. Je o tom, jak rychle se propast mezi reálným útokem a oficiálním varováním rozevírám.

Časová osa, která mluví za vše

Klíčové datum pro nejnaléhavější položku, CVE-2026-21643, je 6. února 2026. Tehdy Fortinet publikoval poradenství a vydal opravu. Sedm týdnů klidu. Pak, kolem 24., bezpečnostní firma Defused Cyber ​​zachytila ​​první pokusy o zneužití a 30. března zveřejnila na platformě X. BleepingComputer ji převzal a rozšířil, Microsoft 6. dubna publikoval analýzu skupiny Storm-1175 a jejích operací s ransomwarem Medusa, Adobe 11. dubna potvrdil aktivní zneužití. CISA přidala relevantní CVE do KEV až 13. dubna.

Pro FortiClient EMS stanovila deadline remediace na 16. dubna, pouhé tři pracovní dny. Pro ostatní položky na 27. dubna. Formálně se povinnost vztahuje jen na americké federální úřady v režimu BOD 22-01. Pro české organizace jde o priorizační signál, ne právní závazek. Ale signál velmi hlasitý.

Co přesně je v ohrožení

Dubnová vlna KEV pokrývá spektrum od kritických serverových chyb po desktopové dokumentaci zranitelnosti. Podle provozního rizika lze seřadit takto:

• CVE-2026-21643 (FortiClient EMS 7.4.4) – neautentizovaná SQL injekce přes HTTP požadavek, žadatel nepotřebuje žádné údaje. Defused popsal vektor přes hlavičku „Site“ a odhadl zhruba tisíc veřejně vystavených instancí. Dopad: vzdálené spuštění kódu na management serveru.
• CVE-2023-21529 (Exchange Server 2013/2016/2019) – deserializace nedůvěryhodných dat, vyžaduje autentizaci, ale Microsoft potvrzuje využití lidí Storm-1175. Po průniku aktér zakládá nové účty, nasazuje web shell, pohybuje se později přes LOLBins a tunely Cloudflare ak exfiltraci a ransomwaru přechází někdy do 24 hodin.
• CVE-2026-34621 a CVE-2020-9715 (Adobe Acrobat/Reader) – prototypové znečištění bez použití. Podmínkou je otevření škodlivého souboru uživatelem. Masově rozšířený software, ale útočník potřebuje spolupráci oběti.
• CVE-2023-36424 a CVE-2025-60710 (Windows) – lokální eskalace oprávnění. Samy o sobě neumožní vstup do systému, ale po prvotním průniku útočníkovi otevřou cestu k plné kontrole.
• CVE-2012-1854 (VBA/VBE6.dll) – nebezpečné načítání knihoven, opraveno už v červenci 2012. Microsoft tehdy psal o „omezených, cílených útocích“. Mezi původní záplatou a zařazením do KEV uplynulo téměř čtrnáct let. Důvod? Knihovna VBE6.dll žije i v aplikacích třetích stran, kde ji výrobce nemusel nikdy aktualizovat.

Některé sekundární zdroje pracovaly s počtem šest zranitelností. Otevřené záznamy NVD a KEV k této vlně ale skládají sedm CVE.

Proč „pozdě“ není chyba jednoho úřadu

KEV není systém včasného varování. Je to federální priorizační katalog, který formalizuje to, co je už potvrzeno aktivně jako zneužívané, a nastavuje závazné termíny pro americké úřady. Rychlost detekce závisí na jiných vrstvách: telemetrie výrobců, firem specializovaných na reakce na incidenty a komunitní bezpečnostní scénu.

U FortiClient EMS to ilustruje předávek řetězce. Fortinet opravil v únoru, ale o zneužití nevěděl. Defused ho zachytil v březnu, ale zveřejnil až o dny později. Microsoft v dubnu přidal kontext o Storm-1175. CISA katalogizovala až poté. Každý článek řetězu měl svou logiku, a přesto organizace, které nemonitorují víc než jeden zdroj, mohly být vystaveny útoku celé týdny.

Pro český kontext je to zvláště relevantní. NÚKIB ve svém inzerátu přímo zmiňuje správu „Fortinet technologií, EMS, FortiClient a EDR“, což potvrzuje, že FortiClient EMS běží iv české státní infrastruktuře. On-prem Exchange? Ve výroční zprávě NÚKIB za rok 2021 tvořily zranitelnosti Exchange typu ProxyLogon a ProxyShell téměř pětinu evidovaných incidentů v ČR.

Co dělat teď

Priorita číslo jedna: zjistit, zda je FortiClient EMS nebo Exchange Server vystavený do internetu. Právě internetová rozhraní pro správu expozice dělá z těchto chybných kritických problémů, víc než samotné skóre CVSS.

Konkrétní kroky podle produktu:

• FortiClient EMS: ověřit verzi serveru, postižená je 7.4.4, upgrade na 7.4.5 nebo vyšší. Pokud nelze záplatovat okamžitě, stáhnout rozhraní pro správu za VPN nebo allowlist.
• Exchange Server: aplikovat bezpečnostní aktualizace pro dotčené verze CU. Monitorovat nové účty, web shelly, nástroje RMM a tunely Cloudflare, přesně tak Microsoft popisuje chování Storm-1175 po průniku.
• Adobe Acrobat/Reader: aktualizováno na verzi 26.001.21411 nebo 24.001.30362. Poučit uživatele, aby neotevírali neočekávané přílohy ve formátu PDF.
• Windows: standardní cesta přes Windows Update, WSUS nebo SCCM.
• VBA/VBE6.dll: pro CVE-2012-1854 existuje alternativní řešení, zakázat načítání knihoven z WebDAV a vzdálených síťových sdílení. Pozor: pokud VBE6.dll žije v aplikaci třetí strany, záplatu musí dodat jejího výrobce.

Kdo tu koho honí

Veřejně vyčíslené škody této konkrétní dubnové vlny zatím neexistují. Microsoft ale uvádí, že Storm-1175 zasahuje zdravotnictví, školství, finanční sektor a profesionální služby v USA, Británii a Austrálii, přičemž od prvního průniku k nasazení ransomwaru Medusa dokáže přejít během dnů. Otázka pro každého správce tedy nezní, jestli záplatovat. Zní, proč to ještě neudělal.