Sakupljač feed-ova

Održana međunarodna NATO vježba “Cyber Coalition 25”

CERT RSS - uto, 2025-12-09 14:44

Na Hrvatskom vojnom učilištu “Dr. Franjo Tuđman” od 28. studenoga do 5. prosinca 2025. provedena je međunarodna NATO vježba “Cyber Coalition 25”.

Vježba “Cyber Coalition 25” jedna je od najvećih i najznačajnijih kibernetičkih vježbi. Riječ je o vodećoj godišnjoj NATO vježbi kolektivne kibernetičke obrane koja okuplja više od tisuću sudionika iz više od trideset zemalja članica NATO-a, partnerskih država i pozvanih promatrača.

Vježbu već osamnaestu godinu organizira Savezničko zapovjedništvo za transformaciju. Republika Hrvatska uključena je u vježbu “Cyber Coalition” od 2009. kao promatrač, a od 2013. godine kao aktivni sudionik, kontinuirano jačajući svoje kapacitete u području kibernetičke obrane.

U provedbi vježbe “Cyber Coalition 25” u Hrvatskoj sudjeluje Zapovjedništvo za kibernetički prostor, kao nacionalni nositelj, zajedno s predstavnicima Ministarstva obrane RH, Oružanih snaga RH, brojnim državnim institucijama, akademskom zajednicom te privatnim sektorom. Time se osigurava širok nacionalni doprinos i međusektorska suradnja.

Djelatnici Nacionalnog CERT-a sudjelovali su u radu operativne, tehniče te obučne skupine za krizno komuniciranje.

Izaslanik načelnika Glavnog stožera Oružanih snaga Republike Hrvatske brigadir Tihomir Tomić o vježbi je rekao: “U vježbi ‘Cyber Coalition’ sudjelujemo od 2013., a vježba se od početka temelji na civilno-vojnoj suradnji. Uz Hrvatsku vojsku u vježbi sudjeluju državne institucije. Počeli smo s jednim scenarijem na mreži, zatim smo svake godine postupno uključivali sve više i više scenarija. Danas sudjelujemo u svim scenarijima, što nas čini čvršćima, jačima i stabilnijima.”

Zapovjednik Zapovjedništva za kibernetički prostor pukovnik Davor Stanković rekao je: “Danas je više nego ikad jasno da se globalna sigurnosna slika mijenja brže nego što smo godinama smatrali mogućim. Rat u Ukrajini pokazuje svijetu da kibernetički prostor više nije samo podrška konvencionalnom ratovanju – on je prvo bojište, područje u kojem napadi mogu paralizirati kritične sustave, narušiti povjerenje javnosti i destabilizirati čitave regije.”

“Istodobno, suočavamo se s porastom hibridnih aktivnosti, naprednim ransomware kampanjama te državnim i nedržavnim akterima koji se digitalnim alatima koriste za ucjenu, sabotažu i širenje dezinformacija. Sve to potvrđuje da je kibernetička sigurnost postala temelj nacionalne i kolektivne sigurnosti. Upravo zato ovakva vrsta vježbe ima iznimnu vrijednost – ona omogućuje da u kontroliranom, ali realističnom okruženju testiramo svoje sposobnosti, otkrivamo slabosti i učimo jedni od drugih”, istaknuo je pukovnik Davor Stanković.

Nacionalni voditelj vježbe pukovnik Kristijan Jakopanec objasnio je: “Vježba ima četiri razine sudionika. Prva razina je nacionalni direktor vježbe koji je odgovoran za nadzor i ukupno vođenje vježbe. Drugu razinu čine kontrolori vježbe smješteni u estonskom glavnom gradu Talinu. Oni nadziru tijek vježbe, usmjeravaju aktivnosti te aktiviraju pojedine dijelove scenarija. Na operativnoj razini djeluju voditelji i lokalni treneri. Oni prate rad obučnih skupina, daju smjernice i pomažu timovima u postizanju zadanih ciljeva, uz stalnu koordinaciju s kontrolorima vježbe. Središnji dio vježbe čine obučne skupine: tehnička, operativna, pravna i skupina za krizno komuniciranje. Svaka od njih uvježbava specifične procedure potrebne za uspješno upravljanje kibernetičkim incidentima.”

Sudionike vježbe posjetili su izaslanik načelnika Glavnog stožera Oružanih snaga RH brigadir Tihomir Tomić, izaslanik ravnatelja Zavoda za sigurnost i informacijske sustave Krešimir Šipek, inspektor iz Inspektorata obrane brigadir Davor Dabo, izaslanik zapovjednika Zapovjedništva specijalnih snaga pukovnik Marinko Šajn i pomoćnik ravnatelja Carneta Miro Đuzel.

The post Održana međunarodna NATO vježba “Cyber Coalition 25” first appeared on CERT.hr.

React2Shell ranjivost (cvss 10). Hitno ažurirajte ranjive verzije

CERT RSS - pet, 2025-12-05 12:33

Kritična ranjivost, nazvana “React2Shell”, u React Server Components (RSC) Flight protokolu omogućuje udaljeno izvršavanje kôda bez autentikacije u React i Next.js aplikacijama. Ranjivi su i svi okviri (engl. frameworks) i biblioteke koje koriste React.

Sigurnosni problem proizlazi iz nesigurne deserializacije. Dobio je ocjenu ozbiljnosti 10/10 i dodijeljen mu je identifikator CVE-2025-55182.

Sigurnosni istraživač Lachlan Davidson otkrio je propust i prijavio ga React timu 29. studenog. Utvrdio je da napadač može postići udaljeno izvršavanje kôda (RCE) slanjem posebno oblikovanog HTTP zahtjeva prema React Server Function krajnjim točkama (engl. endpoints).

“Čak i ako vaša aplikacija ne implementira nijednu krajnju točku za React Server Function, i dalje može biti ranjiva ako podržava React Server Components (RSC),” upozorava React u sigurnosnom savjetu.

Sljedeći paketi u svojoj zadanoj (engl. default) konfiguraciji su pogođeni:

  • react-server-dom-parcel
  • react-server-dom-turbopack
  • react-server-dom-webpack

React je open-source JavaScript biblioteka za izgradnju korisničkih sučelja. Održava ga Meta i široko je usvojen među organizacijama svih veličina za razvoj front-enda.

Next.js, koji održava Vercel, je framework izgrađen na Reactu koji dodaje server-side rendering, rutiranje i API krajnje točke.

Oba rješenja široko su prisutna u cloud okruženjima kroz front-end aplikacije koje pomažu u bržem i lakšem skaliranju i implementaciji arhitektura.

Utjecaj i zakrpe

Prema Reactu, ranjivost je prisutna u verzijama 19.0, 19.1.0, 19.1.1 i 19.2.0. Next.js je pogođen u eksperimentalnim canary izdanjima počevši od 14.3.0-canary.77, te u svim izdanjima 15.x i 16.x prije zakrpanih verzija.

Propust postoji u paketu ‘react-server’ koji koristi i React Server Components (RSC), a Next.js ga nasljeđuje kroz implementaciju RSC Flight protokola.

Ista ranjivost vjerojatno postoji i u drugim bibliotekama koje implementiraju React Server, uključujući Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK i Waku.

Tehničke detelje ranjivostori možete pronaći na React2Shell web stranici.

Preporučene radnje

Programerima se strogo preporučuje primjena zakrpa dostupnih u:

React:

  • 19.0.1
  • 19.1.2
  • 19.2.1

Next.js:

  • 15.0.5
  • 15.1.9
  • 15.2.6
  • 15.3.6
  • 15.4.8
  • 15.5.7
  • 16.0.7

Organizacije bi trebale provjeriti svoja okruženja kako bi utvrdile koriste li ranjivu verziju te poduzeti odgovarajuće mjere za ublažavanje rizika.

Izvor: https://www.bleepingcomputer.com/news/security/critical-react2shell-flaw-in-react-nextjs-lets-hackers-run-javascript-code/

The post React2Shell ranjivost (cvss 10). Hitno ažurirajte ranjive verzije first appeared on CERT.hr.

U Zagrebu održana ENISA-ina konferencija o podizanju svijesti o kibernetičkoj sigurnosti

CERT RSS - pet, 2025-11-28 13:59

U Zagrebu je jučer održana međunarodna konferencija o podizanju razine svijesti javnosti o važnosti kibernetičke sigurnosti pod nazivom „Empowering the Human Element“, koju su organizirali European Union Agency for Cybersecurity (ENISA) i CARNET, u suradnji s Hrvatskim institutom za kibernetičku sigurnost (HIKS) te Sveučilišnim centrom za kibernetičku sigurnost na Sveučilištu Sjever.

Ovo međunarodno događanje, okupilo je više od 300 sudionika iz cijele Europe, uključujući stručnjake za kibernetičku sigurnost i edukaciju, predstavnike institucija i industrije, akademske zajednice, nevladinih organizacija te medija, kao i menadžere i donositelje odluka koji unutar svojih organizacija oblikuju strategije podizanja svijesti o kibernetičkoj sigurnosti.

U uvodnom obraćanju, Evangelos Ouzounis, voditelj izgradnje kapaciteta u ENISA-i, istaknuo je važnost podizanja svijesti o kibernetičkoj sigurnosti kao temelja otpornosti na sve složeniji krajobraz prijetnji, dok je dr. sc. Ivan Šabić, PhD, zamjenik ravnatelja CARNET-a, naglasio kako CARNET u središte svojih aktivnosti stavlja ljudski faktor te da su sustavi sigurni onoliko koliko su sigurni ljudi koji ih koriste, dodajući kako je jačanje vještina, svijesti i kvalitetnog donošenja odluka u digitalnom okruženju ključno za dugoročnu otpornost u Hrvatskoj i na razini Europske unije.

Na konferenciji su CARNET-ovi stručnjaci aktivno dijelili svoje znanje i iskustva. Renata Šimunko iz Nacionalnog koordinacijskog središta, sudjelovala je na panelu o učinkovitosti programa podizanja svijesti o kibernetičkoj sigurnosti, dok je kolega Jakov Kiš iz Nacionalnog CERT-a predstavio Cybersecurity Treasure Hunt, pokazujući kako igrifikacija može učiniti učenje interaktivnim i motivirajućim.

The post U Zagrebu održana ENISA-ina konferencija o podizanju svijesti o kibernetičkoj sigurnosti first appeared on CERT.hr.

Stranice

Pretplati se na sys.portal sakupljač