„OpenClaw“, labai populiarus atviro kodo autonominis AI asistentas, turėjo kritinę spragą (CVE-2026-25253), leidžiančia vienu spustelėjimu gauti kodo vykdymo teises nuotoliu (RCE).
Ataka veikia pasinaudojant „OpenClaw“ nesugebėjimu patvirtinti „WebSocket“ kilmės antraščių (angl. origin headers), o tai reiškia, kad serveris priima ryšius iš bet kurios svetainės.
Pakanka, kad auka paprasčiausiai apsilankytų kenkėjiškame tinklalapyje - užpuoliko „JavaScript“ užmezga „WebSocket“ ryšį, pasiekia autentifikavimo žetoną ir juo pasinaudojęs prisijungia prie aukos „OpenClaw“ įrankio, iš kurio vykdo komandas įrenginyje.
SOCshare: Kibernetinio saugumo apžvalga - 2026 m. vasaris
„Microsoft“ antradieniniai atnaujinimai (angl. Patch Tuesday)
Vasaris atnešė vieną intensyviausių atnaujinimų paketų, kuriuo buvo ištaisytos 59 saugumo spragos, įskaitant šešis aktyviai išnaudojamus „zero-day“ pažeidžiamumus. Trys iš šių šešių pažeidžiamumų buvo išnaudojamos per kliento pusės atakas, pasitelkiant socialinę inžineriją. „Windows Shell“ (CVE-2026-21510) ir „MSHTML Framework“ (CVE-2026-21513) pažeidžiamumai leido apeiti „SmartScreen“ bei kitus saugumo pranešimus paprasčiausiai įtikinant vartotojus atidaryti kenkėjiškus .lnk arba HTML failus gaunama prieiga prie sistemos. Tuo tarpu spraga „Microsoft Word“ (CVE-2026-21514) leido užpuolėjams apeiti OLE apsaugos priemones naudojant specialiai sukurtus Office dokumentus. Tai aiškus priminimas, kad sukčiavimas (angl. phishing) išlieka toks pat pavojingas kaip ir visada.
SolarWinds WHD ir Velociraptor
Į viešumą iškilo plačiai paplitęs SolarWinds Web Help Desk serverių atakos vektorius (išnaudojant CVE-2025-26399, CVE-2025-40536 ir CVE-2025-40551 spragas), tačiau įdomiausia istorijos dalis buvo ne pats įsilaužimas, o veiksmai po jo.
Užuot diegę specialiai sukurtą kenkėjišką programinę įrangą, piktavaliai panaudojo „Velociraptor“ – gerai žinomą atvirojo kodo skaitmeninės kriminalistikos ir reagavimo į incidentus (DFIR) įrankį. Patikimą saugumo priemonę pavertę valdymo ir kontrolės (C2) sistema, užpuolikai veiksmingai apakino organizacijų gynėjus. Naudodamiesi „Velociraptor“, jie išjungė „Microsoft Defender“, gavo prieigą prie failų ir nuotoliniu būdu vykdė komandas.
Kas dar vyko 2026 m. vasario mėn.?
Autonominio AI rizika
Autonominio AI rizika
Substack duomenų nutekėjimas
Substack duomenų nutekėjimas
Naujienlaiškio platforma „Substack“ patvirtino duomenų nutekėjima, dėl kurio buvo atskleista apie 700 000 vartotojų asmeninė informacija. Nors slaptažodžiai ir finansiniai duomenys nebuvo pavogti, nutekėjo elektroninio pašto adresai, telefono numeriai ir (nors oficialiai dar nepatvirtinta) „Stripe“ sistemos klientų IDs.
Pažeidimas įvyko 2025 m. spalio mėn., tačiau įmonė jį aptiko tik 2026 m. vasario mėn. pradžioje. Kūrėjai ir prenumeratoriai ilgą laiką buvo pažeidžiami tikslinėms sukčiavimo kampanijoms patys to nežinodami.
Pažeidimas įvyko 2025 m. spalio mėn., tačiau įmonė jį aptiko tik 2026 m. vasario mėn. pradžioje. Kūrėjai ir prenumeratoriai ilgą laiką buvo pažeidžiami tikslinėms sukčiavimo kampanijoms patys to nežinodami.
Žvilgsnis į ateitį
Organizacijos turėtų teikti pirmenybę:
- Saugumo įrankių diegimo ir naudojimo stebėjimas: nustatykite griežtas taisykles ir stebėkite saugumo įrankių veiklą. Kartais grėsmės veikėjai diegia ir naudoja tokius įrankius kaip „Velociraptor“ arba EDR/XDR sprendimus, kad galėtų kontroliuoti įrenginius. Ši veikla dažnai lieka nepastebėta, nes įrankiai laikomi iš esmės saugūs.
- Izoliuokite AI agentus: Tokie įrankiai kaip OpenClaw, turintys kodo vykdymo ir aukšto lygio prisijungimo duomenis, kelia tam tikrą riziką. Jei jūsų programuotojai ar darbuotojai naudoja AI agentus, juos reikėtų traktuoti kaip nepatikimą programinę įrangą. AI agentai turėtų veikti tik griežtai izoliuotose aplinkose (pavyzdžiui, virtualiose mašinose) su dedikuotais, neprivilegijuotais prisijungimo duomenimis.
- Patikrinkite savo atnaujinimų kanalus: pereikite prie centralizuotų programinės įrangos atnaujinimo sprendimų (pavyzdžiui, naudokite „Microsoft Intune“, „Microsoft SCCM“ ar panašių sprendimų), o ne leiskite galiniams įrenginiams tiesiogiai kreiptis į išorinius atnaujinimų serverius.
Šaltiniai:
- CrowdStrike – February 2026 Patch Tuesday: Six Zero-Days Among 59 CVEs Patched
- Huntress – Active Exploitation of SolarWinds Web Help Desk
- The Hacker News – OpenClaw Bug Enables One-Click Remote Code Execution via Malicious Link
- CSO – Substack data breach leaks users’ email addresses and phone numbers
Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.
Kitos naujienos ir istorijos
SOCshare: Kibernetinio saugumo padėtis - 2026 m. sausio mėn. apžvalga
SOCshare: Kibernetinio saugumo padėtis - 2026 m. sausio mėn. apžvalga
Kibernetinių grėsmių stebėsena: kokioms organizacijoms aktualu ir kokius šaltinius stebėti?
Dažniausiai pasitaikantys mitai susiję su DORA reglamento įgyvendinimu mūsų praktikoje
„NRD Cyber Security“ likvidavo Bangladeše įsteigtą įmonę „NRD Bangladesh“
2024 metais sparčiai augome ir plėtėmės į tarptautines rinkas
Informacijos saugumas: kam patikėti įmonės duomenis?
