西门子多款工业设备受Linux内核漏洞SegmentSmack影响;欧洲能源企业EDP感染RagnarLocker

发布时间 2020-04-16

1.西门子多款工业设备受Linux内核漏洞SegmentSmack影响



西门子发布4月补丁更新, 其中3条新公告通知客户其多款工业设备受到Linux内核漏洞SegmentSmack影响。SegmentSmack和FragmentSmack(分别被跟踪为CVE-2018-5390和CVE-2018-5391)是研究人Juha-Matti Tilli在2018年发现的两个Linux内核漏洞,攻击者可以通过向目标系统发送恶意数据包来发起DoS攻击。在第一份公告中西门子称SegmentSmack和FragmentSmack影响了它的IE/PB-Link设备、RUGGEDCOM路由器、基于ROX的VPN终端和防火墙、SCALANCE路由器和防火墙、SIMATIC通信处理器和Sinema Remote Connect。第二份公告中西门子披露与SegmentSmack有关的DoS漏洞(CVE-2019-19301),该漏洞影响了SIMATIC通信模块、SCALANCE X交换机和SIPLUS设备。第三份公告则披露了影响西门子SIDOOR门管理系统、SIMATIC设备、SINAMICS转换器和SIPLUS产品的DoS漏洞(CVE-2019-19300)。



原文链接:

https://www.securityweek.com/siemens-industrial-devices-affected-segmentsmack-linux-kernel-flaw




2.英特尔发布4月安全更新,修复多款产品中的9个漏洞



英特尔在4月补丁更新中修复了9个漏洞,这些漏洞均为中高危漏洞,影响多个App、固件及平台。英特尔修复了PROSet/无线WiFi产品在Windows 10上的两个漏洞-经过身份验证的攻击者由于不安全的继承权限而可能通过本地访问进行特权升级(CVE-2020-0557);由于内核驱动程序中的缓冲区限制不当,无特权的攻击者可能通过相邻网络访问来导致拒绝服务(CVE-2020-0558)。英特尔还修复了NUC mini PC的系统固件中和模块化服务器MFS2600KISPP计算模块中的两个漏洞,包括不正确的缓冲区限制导致的LPE漏洞(CVE-2020-0600)和条件检查不当导致的提权漏洞(CVE-2020-0578)。


原文链接:

https://www.bleepingcomputer.com/news/security/intel-april-platform-update-fixes-high-severity-security-issues/


3.MicroSoft发布4月Office安全更新,修复55个漏洞



MicroSoft在4月Office安全更新中针对7个产品修复了55个漏洞,其中包括影响了微软 Office和微软 Office SharePoint产品的12个RCE漏洞,这些漏洞均被归类为严重或重要级别,攻击者可以利用它们在SharePoint应用程序和SharePoint服务器帐户的上下文中实行任意代码。MicroSoft还修复了10个XSS漏洞,攻击者可能利用这些漏洞在当前用户的安全上下文中运行脚本并假冒用户、窃取敏感数据或未经授权阅读内容。此外,MicroSoft修复了两个提权漏洞和四个欺骗漏洞。详细漏洞列表请参考以下链接。


原文链接:

https://www.bleepingcomputer.com/news/security/microsoft-office-april-security-updates-fix-critical-rce-bugs/


4.欧洲能源企业EDP感染RagnarLocker,被勒索近1000万欧元



近日葡萄牙跨国能源巨头Energias de Portugal(EDP)遭到勒索AppRagnarLocker攻击,被勒索1580 BTC的赎金(约合1090万美金或990万欧元)。EDP集团是欧洲能源行业(天然气和电力)最大的运营商之一,也是世界第四大风能生产商。该企业在全球四个大洲的19个国家/地区拥有业务,并且拥有超过11500名员工和为超过1100万客户提供能源。在攻击过程中,Ragnar Locker攻击团伙声称窃取了超过10 TB的企业敏感文件,并威胁称如果该企业拒绝支付赎金,他们将发布盗取的所有数据。


原文链接:

https://www.bleepingcomputer.com/news/security/ragnarlocker-ransomware-hits-edp-energy-giant-asks-for-10m/


5.TA505继续利用SDBbot RAT感染企业网络,主要针对欧洲



IBM X-Force团队观察到TA505继续利用SDBbot RAT感染企业网络。在2019年11月,X-Force IRIS观察到有攻击者利用假冒的Onehub钓鱼邮件攻击欧洲的企业员工,该钓鱼邮件旨在窃取Active Directory(AD)数据及用户凭据,并使用SDBbot RAT感染企业网络环境。根据研究人员对攻击者的TTP、C&C基础设施以及先前归因于该组织的特定恶意App的分析,X-Force IRIS认为TA505是该攻击活动背后的攻击团伙。


原文链接:

https://securityintelligence.com/posts/ta505-continues-to-infect-networks-with-sdbbot-rat/


6.旧金山机场攻击者或为俄罗斯APT组织Energetic Bear



ESET研究人员认为,对旧金山国际机场(SFO)网站的攻击是由被称为Energetic Bear的俄罗斯网络间谍组织进行的。该APT组织自2010年以来一直很活跃,主要针对能源和工业领域的组织。SFO的机场信息技术和电信部门(ITT)表示攻击者在机场网站上植入了恶意代码以窃取用户的登录凭据,可能受攻击影响的用户包括使用Windows设备或非SFO维护的设备通过IE浏览器从机场网络外部访问这些网站的用户。SFO的IT人员已经删除了注入其网站中的恶意代码,并在攻击发生后将两者都进行了脱机处理。为响应此事件,SFO机场重置了所有的电子邮件和网络密码。ESET称攻击者利用SMB功能和file://前缀来收集访问者的Windows凭据,包括用户名和NTLM哈希。


原文链接:

https://securityaffairs.co/wordpress/101601/apt/energetic-bear-airport-hack.html