ShareElectric.cz
Návody

Hackeři si našli díru do SharePointu. Energetické firmy by měly zpozornět už dnes

Hackeři si našli díru do SharePointu. Energetické firmy by měly zpozornět už dnes - Návody | SmartEnergyShare

CISA přidala do svého KEV katalogu novou položku – CVE-2026-58644, kritickou zranitelnost v Microsoft SharePoint Serveru, kterou útočníci aktivně zneužívají v reálném provozu. Není to jen další čárka v tabulce. Federální agentury v USA mají podle direktivy BOD 22-01 povinnost záplatovat do stanoveného termínu, jinak riskují sankce. A v Česku? Tady žádná podobná povinnost neplatí, přesto by měl každý, kdo provozuje on-premise SharePoint někde v blízkosti provozních systémů, zbystřit. Zvlášť firmy v energetice, teplárenství nebo vodárenství, kde SharePoint často slouží jako úložiště projektové dokumentace, schémat rozvoden nebo bezpečnostních listů – tedy přesně těch dat, která útočníkovi otevřou cestu z IT sítě do OT prostředí.

Co je vlastně CVE-2026-58644 a proč je tak nebezpečná

Jde o vzdálené spuštění kódu (RCE) na on-premise instalacích SharePoint Serveru. Útočník nepotřebuje fyzický přístup ani platné přihlašovací údaje – stačí síťová dostupnost webového rozhraní a chvíle trpělivosti. Přesně tenhle vzorec jsme viděli u předchozích řetězců zranitelností typu ToolShell, které se v roce 2025 staly noční můrou pro stovky organizací po celém světě. SharePoint je lákavý cíl z jednoduchého důvodu: běží uvnitř sítě, má přístup k Active Directory, k interním souborovým úložištím a často i k systémům, které si administrátoři spojili „protože to bylo praktické". Jakmile se útočník dostane dovnitř, získává nejen přístup k dokumentům, ale i odrazový můstek k pohybu napříč sítí – takzvaný lateral movement.

CISA řadí zranitelnost do KEV katalogu (Known Exploited Vulnerabilities) pouze tehdy, když existuje potvrzený důkaz aktivního zneužívání ve volné přírodě, ne jen teoretické proof-of-concept. To znamená, že už teď někde běží kampaně, které tuhle díru zneužívají – ať už jde o ransomwarové gangy, nebo skupiny s vazbou na státem sponzorované operace. Podobnou logiku sledujeme i u aktuální kampaně GoSerpent, o které informoval The Hacker News – malware cílící na vlády a diplomaty v jihovýchodní Asii ukazuje, že špionážní skupiny dnes běžně kombinují cílený phishing s exploitací veřejně dostupných serverových aplikací. SharePoint, Exchange, VPN appliance – to je dnes standardní vstupní brána, ne exotika.

Proč se to týká energetiky, i když SharePoint není OT systém

Tady je ten klíčový bod, který se často v diskuzích ztrácí. SharePoint sám o sobě není řídicí systém, nikde nejede jako HMI ani PLC. Ale v drtivé většině energetických firem stojí v IT síti, která má – ať už oficiálně nebo neoficiálně – propojení směrem k OT prostředí. Dragos, který se dlouhodobě specializuje na monitoring průmyslových sítí, ve svých analýzách opakovaně upozorňuje, že naprostá většina úspěšných útoků na kritickou infrastrukturu nezačíná přímým průnikem do řídicího systému. Začíná v IT – e-mailem, webovou aplikací, chybně nakonfigurovaným serverem. Teprve odtud si útočník najde cestu dál.

Typický scénář: útočník ovládne SharePoint, získá přístup k účtu inženýra, který má na disku uložené přihlašovací údaje k HMI rozhraní nebo síťová schémata rozvodny. Během pár hodin má mapu vaší sítě zdarma. Přesně tenhle typ útoku popisují i historické případy jako Colonial Pipeline nebo útoky na ukrajinské distribuční sítě – vstupní bod byl vždy v IT, dopad se ale projevil v provozu. V českém prostředí NUKIB dlouhodobě doporučuje striktní segmentaci sítí a princip nulové důvěry mezi IT a OT vrstvou – a případ jako CVE-2026-58644 je učebnicovým důvodem proč.

Jak zjistit, jestli jste v ohrožení

Nejde jen o to zkontrolovat verzi SharePointu. Postup by měl vypadat takto:

Zaprvé, zjistěte, jestli provozujete on-premise SharePoint Server (cloudové SharePoint Online instance nejsou zranitelností postiženy stejným způsobem, Microsoft je patchuje centrálně). Zadruhé, zkontrolujte aktuální patch level proti bezpečnostnímu bulletinu Microsoftu – CISA i Microsoft zveřejňují přesná čísla buildů, které opravu obsahují. Zatřetí, projděte logy IIS a SharePointu za posledních 90 dní a hledejte anomální požadavky na ToolPane.aspx, spinstall0.aspx nebo podobné endpointy, které se u předchozích řetězců zranitelností objevily jako indikátory kompromitace.

Důležité: samotná aplikace záplaty nestačí, pokud už k průniku došlo dřív. Microsoft i CISA v podobných případech doporučují rotaci MachineKey hodnot ASP.NET, protože útočník s přístupem k serveru si tuto hodnotu mohl zkopírovat a použít ji k podepisování falešných požadavků i po záplatování – to je přesně to, co se stalo při ToolShell kampani v roce 2025. Pokud vaše bezpečnostní tým tohle vynechá, oprava je jen kosmetická.

Konkrétní kroky obrany – ne teorie, ale checklist

Pro provozovatele energetické infrastruktury má smysl jít nad rámec pouhého patchování:

Segmentace sítě mezi IT a OT musí být fyzická nebo alespoň striktně vynucená na firewallu, ne jen „VLAN a doufáme". Přístup k SharePointu a podobným kolaborativním nástrojům by měl být chráněn vícefaktorovou autentizací a idealně za VPN nebo zero-trust bránou, nikdy přímo vystaven do internetu. Monitoring – ať už SIEM, nebo specializovaný OT monitoring typu toho, co nabízí Dragos – by měl sledovat neobvyklé přesuny dat mezi IT a OT segmentem, protože to je moment, kdy se z „obyčejného" IT incidentu stává provozní riziko.

Zálohy dokumentace a konfigurací by neměly ležet na stejném serveru, který je vystaven internetu. Zní to jako banalita, ale v praxi vídáme firmy, kde jsou schémata rozvoden, přístupové údaje k RTU jednotkám i provozní deníky na jednom sdíleném disku dostupném celé firmě. To je přesně ten typ chyby, který mění bezvýznamný IT incident v provozní krizi. A v neposlední řadě – pravidelný red team test, který cíleně zkouší cestu z IT do OT, ne jen perimetr.

Co dělá NUKIB a jak to zapadá do širšího obrazu

NUKIB v posledních letech výrazně zpřísnil požadavky na hlášení incidentů podle zákona o kybernetické bezpečnosti, a energetické subjekty spadající pod regulaci NIS2 mají povinnost hlásit významné incidenty do 24 hodin od zjištění. Zranitelnost typu CVE-2026-58644 je přesně ten druh události, kterou by měl bezpečnostní tým sledovat proaktivně, ne čekat, až se objeví v poplašných zprávách po prvním úspěšném útoku. Doporučuji sledovat oficiální stránky nukib.gov.cz, kde bezpečnostní tým pravidelně publikuje varování a metodická doporučení pro provozovatele kritické infrastruktury.

Zajímavé je srovnání s kampaní GoSerpent, kterou popsal The Hacker News – cílí primárně na vládní a diplomatické subjekty v jihovýchodní Asii, ale technika je přenositelná kamkoliv. Špionážní i finančně motivované skupiny dnes sdílí nástroje a exploit kity rychleji než kdy dřív. Zranitelnost objevená a zneužitá proti jednomu sektoru se během týdnů nebo dní objeví v útocích proti úplně jinému odvětví. Energetika, protože drží kritická data a má nízkou toleranci k výpadku, je logickým dalším cílem.

Kde přesně energetické firmy ztrácí přehled

Z praxe vidíme opakovaně stejný vzorec – firmy investují do zabezpečení řídicích systémů, ale zapomínají, že brána dovnitř vede přes běžné kancelářské aplikace. Přitom právě tady, na pomezí IT a energetického provozu, řeší otázky zabezpečení dat i platforma pro energetická platforma SES – konkrétně v rámci nabídky pro firmy a obce a města, kde je bezpečná správa dat o spotřebě a výrobě elektřiny stejně kritická jako u velkých distribučních společností.

Sdílení elektřiny mezi odběrateli, IoT monitoring výroby z FVE nebo obchodování s flexibilitou – to všechno stojí a padá na tom, že datové toky jsou zabezpečené end-to-end. Pokud provozujete IoT monitoring výroby nebo se zapojujete do obchodování flexibility, zranitelnost v kolaborativním nástroji, který drží konfigurace a přístupy, může mít reálný dopad na integritu vašich dat, nejen na dostupnost dokumentů. Doporučuji projít si i sekci energetické poradenství, kde se dá probrat i kybernetická odolnost konkrétního projektu, ne jen ekonomika.

Co dál – nejde to podcenit ani přehnat

Realita je taková, že podobných zranitelností bude přibývat, ne ubývat. Čím víc se energetika digitalizuje – ať už kvůli decentralizované výrobě, bateriovým úložištím, nebo spotovým cenám elektřiny, které nutí firmy reagovat v reálném čase – tím víc je atraktivním cílem. Zranitelnost jako CVE-2026-58644 by měla být budíčkem, ne položkou k odškrtnutí v tabulce compliance.

Moje předpověď: do konce roku uvidíme minimálně jeden veřejně potvrzený případ, kdy průnik přes zranitelnost v kolaborativním IT nástroji vedl k reálnému dopadu na provoz energetické firmy v Evropě. Ne proto, že by útočníci byli geniální, ale proto, že segmentace mezi IT a OT je pořád spíš zbožné přání než realita u velké části středních a menších provozovatelů. Pokud patříte mezi ně, tenhle článek berte jako impulz projít si síťovou topologii ještě dnes, ne až po incidentu.

Podrobnosti o tom, jak funguje bezpečné sdílení energetických dat mezi odběrateli a výrobci, najdete na stránce jak to funguje. Téma kybernetické bezpečnosti v souvislosti s komunitní energetikou zajímavě rozebírá i sdilenienergie.info, a legislativní pohled na odpovědnost obcí při provozu energetických projektů najdete na electric-share.cz.

Zdroje

Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →

Další články na toto téma najdete na: SmartEnergyShare.info Jak správně nakupovat elektřinu v roce 2026: Kompletní pr... Vice o spotová cena