A Texasi Műszaki Egyetem Egészségtudományi Központja 2024 szeptemberében kibertámadás áldozata lett. A támadás zavart okozott az egyetem számítógépes rendszereiben és alkalmazásaiban valamint körülbelül 1,4 millió beteg adatait érintette. Az érintett szervezet egy állami, akadémiai egészségügyi intézmény, amely a Texas Tech University System része, amely egészségügyi szakembereket oktat és képez, orvosi kutatásokat végez és betegellátási szolgáltatásokat nyújt.

A hackerek által megszerzett információ egyénenként változó, de az alábbi adatokat tartalmazhatja:

A Zyxel biztonsági frissítéseket adott ki a vállalati routereinek több modelljét érintő olyan kritikus sérülékenység javítására, amely OS command injection végrehajtását teszi lehetővé a támadók számára.

Megjegyzés: Az OS command injection (más néven shell injection) egy olyan webes biztonsági sebezhetőség, amely lehetővé teszi a támadó számára, hogy tetszőleges operációs rendszer parancsokat hajtson végre az alkalmazást futtató szerveren és teljesen kompromittálja az alkalmazást és annak összes adatát.

A „sedexp” névre hallgató kifejezetten jól rejtőzködő linux malware 2022 óta sikeresen kerüli el a felismerést egy olyan persistence módszer alkalmazásával, ami még nincs benne a MITTRE ATT@CK keretrendszerben. A malware-t a kockázatkezeléssel foglalkozó Stroz Friedberg nevű cég fedezte fel. Lehetővé teszi a támadók számára, hogy reverse shellt hozzanak létre távoli hozzáféréshez, és így további támadásokat tesz lehetővé.

A német Bundesamt für Verfassungsschutz (Szövetségi Alkotmányvédelmi Hivatal) arra figyelmeztetett, hogy az APT27 hackercsoport ismét támadásokat hajt végre Európa szerte, és a már korábban ismert RSHELL malware új verzióit használják fel a támadások során.

A német szövetségi hivatal megosztotta saját YARA észlelési kulcsát, amivel ellenőrizhető, hogy megfertőződtünk-e az RSHELL malware-el.

A CVE-2024-21410 néven nyomon követett, kritikus súlyosságú jogosultságnövelési hiba, amelyet a hackerek aktívan kihasználnak, lehetővé teszi, hogy hitelesítés nélküli támadók NTLM relay támadásokat hajtsanak végre a sebezhető Microsoft Exchange szervereken, és növeljék jogosultságaikat a rendszerben.

A Canonical Snap Store-t rosszindulatú alkalmazások feltöltésével támadták meg. 2023. szeptember 28-án a Snap Store csapatát egy lehetséges biztonsági incidensről értesítették. Számos Snap-felhasználó több, nemrégiben közzétett, potenciálisan rosszindulatú snappet jelentett. E bejelentések következtében a Snap Store csapata azonnal eltávolította ezeket a snaps, és többé nem lehet fellelni, sem telepíteni őket. Emellett szünetel az automatikus snap-regisztráció is a biztonsági incidenst követően.

Az Eclypsium firmware- és hardverbiztonsági cég kutatói felfedezték, hogy a tajvani Gigabyte által gyártott több száz alaplapmodell olyan backdoorokat tartalmaz, amelyek jelentős kockázatot jelenthetnek a szervezetekre nézve.

A kutatók megállapították, hogy az operációs rendszerek indításakor számos Gigabyte rendszer firmware-je egy Windows bináris programot hajt végre, amely később HTTP-n vagy nem megfelelően konfigurált HTTPS kapcsolaton keresztül letölt és futtat egy újabb payloadot.

Az Eclypsium szerint nehéz egyértelműen kizárni, hogy a Gigabyte-on belülről telepítették volna azt, de arra figyelmeztettek, hogy a fenyegetési szereplők visszaélhetnek a hibával.

Az UEFI rootkiteket a támadók sok esetben arra használják, hogy a Windows malware-ek fennmaradhassanak egy kompromittált rendszeren. Ez a backdoor alkalmas erre a célra, ráadásul nehéz lehet azt véglegesen eltávolítani.

A kiberbiztonsági cég arra is figyelmeztetett, hogy a hackerek további támadásokra is használhatják a rendszer és a Gigabyte szerverei közötti nem biztonságos kapcsolatot. Több mint 270 érintett alaplapmodell listáját tették közzé, amely azt jelenti, hogy a backdoor valószínűleg több millió eszközön megtalálható.

Június 5-én a Gigabyte bejelentette a BIOS frissítések kiadását, amelyek orvosolják a sebezhetőséget.

A CISA hat új hibát vett fel a KEV (Known Exploited Vulnerabilities) katalógusába:

• az Apple által már javított 3 hibát (CVE-2023-32434, CVE-2023-32435 és CVE-2023-32439),
• két VMware hibát (CVE-2023-20867 és CVE-2023-20887),
• egy Zyxel hibát (CVE-2023-27992).