Zero-day v Ivanti: Když se klíč k vaší síti válí na darknetu a NUKIB bije na poplach

Ivanti má problém. Zase. Pokud pracujete v IT bezpečnosti, pravděpodobně se vám při vyslovení tohoto jména už automaticky spouští tik v oku. Firma, která má být strážcem přístupů do firemních sítí, se v posledních měsících změnila v dárkový koš pro hackery. Nejnovější díra v systému Endpoint Manager Mobile (EPMM) není jen další řádek v seznamu CVE. Je to otevřená brána k infrastruktuře, kterou stát označuje za kritickou. A ano, týká se to i české energetiky.

Když se "bezpečný" přístup změní v noční můru

Představte si, že máte dům s nejmodernějším alarmem. Máte pancéřové dveře, kamery s nočním viděním a u brány hlídacího psa. Pak zjistíte, že výrobce zámků nechal v každých dveřích univerzální klíčovou dírku, o které vědí jen zloději. Přesně tohle se stalo u Ivanti EPMM.

Chyba označená jako zero-day (tedy taková, pro kterou v momentě útoku neexistovala záplata) umožňuje útočníkům obejít autentizaci. V překladu do lidštiny: kdokoli z internetu se mohl přihlásit do vašeho systému pro správu mobilních zařízení, aniž by znal jediné heslo. A odtud už je to jen krůček k ovládnutí celého podniku.

V energetice je tohle scénář zralý na infarkt. Dispečer, který ovládá rozvodnou síť nebo solární park, má v kapse tablet. Tenhle tablet spravuje právě systém jako Ivanti. Pokud hacker ovládne správcovskou konzoli, může do tabletu poslat škodlivou aktualizaci, sledovat polohu technika nebo rovnou zachytit jeho přihlašovací údaje do vnitřní sítě elektrárny.

Od phishingu k úplnému zatmění

Útoky typu ransomware málokdy začínají velkým třeskem. Je to spíš tiché plížení. Celý "Attack Chain" – tedy řetězec útoku – začíná většinou banálně. Phishingem. Jenže zapomeňte na špatně přeložené maily o dědictví v Nigérii. Dnešní kampaně, jako ta nedávná od skupiny ShinyHunters zneužívající portály Canvas, jsou chirurgicky přesné.

Hackeři využívají AI k tomu, aby vytvořili perfektní kopie přihlašovacích stránek. Stačí jedna nepozornost, jedno kliknutí unaveného administrátora a útočník má první kostičku domina. Pak přichází na řadu zneužití děr jako je ta v Ivanti. Útočník se "probourá" hlouběji, začne se v síti pohybovat horizontálně a hledat to nejcennější: data a ovládací systémy.

V energetickém sektoru nejde jen o peníze. Jde o stabilitu. Pokud útočník získá přístup k řízení toků v síti, může způsobit škody, které nevyřeší žádné pojištění. NUKIB (Národní úřad pro kybernetickou a informační bezpečnost) proto dlouhodobě varuje, že energetika je pro státem sponzorované hackerské skupiny cílem číslo jedna. Nejde jim o šifrování dat pro výkupné, jde jim o "připravené pozice" pro případný konflikt.

AI jako dvousečná zbraň v energetice

Tady se dostáváme k paradoxu dnešní doby. AI je pro hackery dar z nebes. Dokáže generovat malware, který mění svůj kód, aby ho antiviry nepoznaly, nebo psát phishingové maily v perfektní češtině. Ale stejná technologie je naší jedinou šancí na obranu.

Moderní energetické platformy, jako je například česká Smart Energy Share, stojí na datech. A kde jsou data, tam musí být i jejich inteligentní ochrana. V systému, kde spolu komunikují tisíce solárních střídačů, baterií a chytrých elektroměrů, není v lidských silách sledovat každý paket. AI zde funguje jako digitální imunitní systém. Pokud se jeden střídač v Jižních Čechách začne chovat divně – třeba se pokouší připojit k serveru v Severní Koreji – AI to pozná v řádu milisekund a odřízne ho.

Zneužití zero-day chyb v Ivanti ukazuje, že spoléhat se na "hradbovou" bezpečnost (mám firewall a jsem v klidu) je v roce 2026 čiré šílenství. Budoucnost je v architektuře Zero Trust. Nikomu nevěřit, všechno neustále prověřovat. A je jedno, jestli jde o mobil šéfa nebo o senzor v trafostanici.

NUKIB a CISA: Co dělat, když hoří

Pokud ve vaší firmě používáte produkty Ivanti, pravděpodobně už jste dostali varovný bulletin od NUKIB nebo americké CISA. Doporučení jsou jasná a nekompromisní: 1. Okamžitá izolace: Pokud nemáte nainstalované nejnovější bezpečnostní fixy, odpojte správcovská rozhraní od veřejného internetu. Hned. 2. Audit logů: Nehledejte jen stopy po útoku, hledejte anomálie. Přihlášení v neobvyklý čas, přístup z IP adres, které nedávají smysl. 3. Plán obnovy: Předpokládejte, že už v síti jsou. Máte offline zálohy? Máte scénář, co dělat, když budete muset vypnout celou infrastrukturu?

Česká energetika se nachází v procesu masivní digitalizace. Decentralizace výroby elektřiny znamená, že místo deseti velkých elektráren máme statisíce malých uzlů na střechách domů a firem. Každý takový uzel je potenciálním cílem. Bezpečnost IoT prvků už není téma pro geeky, je to otázka národní bezpečnosti.

Tech detaily: Proč to bylo tak snadné?

Pro ty, co chtějí nahlédnout pod kapotu: chyba v Ivanti EPMM (konkrétně CVE-2023-35078) spočívala v tom, že určité API endpointy nevyžadovaly žádnou autentizaci. Útočník mohl jednoduše poslat HTTP požadavek na specifickou URL a systém mu vypsal seznam všech registrovaných zařízení, jména uživatelů, a dokonce mu umožnil měnit konfiguraci.

Ironií je, že tyto systémy mají bezpečnost zvyšovat. Místo toho se staly slabým článkem řetězu. Je to jako byste si koupili trezor, který má na zadní straně nálepku s kódem od výrobce.

Co nás čeká dál?

Útoky na Ivanti nejsou náhoda. Jsou součástí širšího trendu. Hackeři už neútočí na koncové uživatele, pokud nemusí. Útočí na dodavatelský řetězec (Supply Chain). Proč hackovat tisíc firem, když můžete hacknout jeden software, který používají všechny?

Vsadím boty, že do konce roku uslyšíme o další podobné díře v jiném velkém systému. Jedinou cestou ven je kombinace přísných regulací (jako je směrnice NIS2), neustálého vzdělávání zaměstnanců (aby nesežrali ShinyHunters i s navijákem) a nasazení AI pro detekci hrozeb v reálném čase.

Energetika bude vždycky v první linii. Je to tichá válka, která se odehrává v serverovnách a v kódu aplikací. Pokud ji prohrajeme tam, pocítíme to všichni u vypínačů. Nečekejte, až vám Ivanti nebo kdokoli jiný pošle další "urgentní varování". Bezpečnost není produkt, který si koupíte, je to proces, který nikdy nekončí. A pokud si myslíte, že vás se to netýká, protože máte "jen malou firmu", pamatujte: pro automatizované boty hackerů jste jen IP adresa v řadě. A oni mají trpělivost, kterou vy nemáte.

Zdroje pro další studium: - Varování NUKIB k produktům Ivanti - CISA - Known Exploited Vulnerabilities Catalog