CDPwn漏洞使数百万的思科企业级设备受到攻击

如果您的企业网络中有‎‎思科‎‎设备,您应该立即检查思科专有设备发现协议中新发现的 CDPwn 漏洞,并尽快实施修补程序。‎

由Armis研究人员发现并于去年以负责任的方式向思科披露了五个“ CDPwn”缺陷CVE-2020-3110,CVE-2020-3111,CVE-2020-3118,CVE-2020-3119和CVE-2020-3120,这些缺陷可能被利用来导致拒绝服务或远程执行代码。所有这些缺陷都会影响Cisco发现协议(一种运行在Cisco设备上的第2层协议)。

受影响设备:运行思科 FXOS 软件、思科 IP 摄像机固件、思科 IP 电话固件、思科 NX-OS 软件、Cisco IOS-XR 和 Cisco UCS Fabric的不同型号设备都受到一个或多个漏洞的影响。‎

不受影响设备:运行Cisco IOS和Cisco IOS-XE软件的路由器和交换机,以及Cisco ASA,Cisco Firepower 1000系列和Cisco Firepower 2100系列等防火墙。(尽管CVE-2020-3120影响Firepower 4100系列和Firepower 9300安全设备)。

“众所周知的安全最佳做法是在连接到不受信任网络的所有接口上禁用思科发现协议。每个安全公告都提供了有关如何确定设备中是否启用了思科专用设备发现协议以及如何禁用它的详细信息,”思科发言人指出。

“对于为某些功能而必须运行CDP的那些产品,鼓励客户遵循网络分段的最佳做法,以避免不受信任的设备发送CDP数据包或最终使用可用的软件修补程序升级这些设备。”

不用多说,修复应优先于CDP禁用。

漏洞如何被利用:

‎首先:思科 PSIRT 不知道任何 CDPwn 漏洞的恶意使用。‎
‎此外:这些漏洞不能从 Internet 或从其他广播域/子网进行利用 – 攻击者必须与受影响的设备位于同一广播域或子网中,才能利用这些缺陷。这意味着攻击者必须首先在目标网络中站稳脚跟。‎

CDPwn-exploitation

但是,一旦实现,就可以使用CDP漏洞执行以下操作:

  • 中断网络分段
  • 从IP电话和摄像头等设备中窃取信息,并从中窃听语音和视频数据/呼叫以及视频源
  • 窃取流经公司网络交换机和路由器的敏感公司数据
  • 通过利用MitM攻击来拦截和更改公司交换机上的流量,从而破坏设备通信

“CDP是一种协议,它基于在整个网络中发送的多播以太网数据包。例如,连接到受影响交换机的攻击者只需发送恶意制作的 CDP 数据包,这将触该漏洞并导致远程代码执行。不幸的是,发现的RCE漏洞都很容易被利用,无论是堆栈溢出还是堆溢出,都只采取了最小限度的缓解措施,以防止它们变成功能漏洞,”Armis 研究副总裁 Ben Seri 说。

正如 Armis 指出的,95% 以上的财富 500 强公司使用思科协作解决方案,而大量这些设备最终出现在攻击者认为极其有价值的地方:交易大厅、会议室、CEO 办公室等。

“虽然企业通常会使用网络分段作为将这些设备与网络其他部分隔离的方法,但 CDPwn 可用于突破这些边界,允许未经授权的访问和危害,”他们补充道。

著名防病毒软件Avast收集用户数据并出售给Google,Microsoft

调查称,Mac和Windows版本的Avast防病毒软件收集用户数据,并通过子公司Jumpshot将一些敏感信息出售给第三方,包括Google,Microsoft和Intuit。

Avast提供了多种免费和付费的防病毒和安全工具。这些工具非常流行,每月有超过4.35亿活跃用户在Mac,PC和移动设备上使用该工具,以保护其数据免受伤害。

作为其产品的一部分,Avast的软件提供了选择加入的选项,以允许公司收集某些类型的用户数据,然后通过子公司Jumpshot出售这些数据。 Vice和PC Mag使用泄露的用户数据,合同和其他文件进行的调查揭示了这些销售的范围以及公司销售数据的广度。

调查获得的数据表明,Avast 收集的信息范围很广,包括 Google 搜索、位置查找和 Google 地图中的 GPS 坐标、LinkedIn页面和 YouTube 视频列表。更令人不安的是,记录的匿名色情网站访问记录提供了用户访问网站的日期和时间,以及在某些情况下的搜索词和观看的视频。

尽管努力对数据匿进行了匿名化,但一些专家声称,非常具体的浏览数据可以用来找出身份。

该子公司声称它拥有来自1亿个设备的数据,而调查称Jumpshot将从Avast收集的数据重新打包为许多不同的包。 这还包括一个所谓的“所有点击源”选项,客户支付了数百万美元,以便能够跟踪用户在网站上的行为和活动。

客户名单包括许多主要公司,例如Google,Yelp,Microsoft和Pepsi。

Avast在一份声明中告诉调查者,它已停止向Jumpshot提供收集的浏览数据。

调查进一步从来源和泄露的文档中发现,Avast仍在进行收集,但是是通过防病毒软件本身而不是浏览器插件进行的。 在上周的一份内部文件中显示,Avast已开始要求免费的防病毒工具的用户再次选择加入数据收集。

一份内部手册建议说:“如果他们选择加入,该设备将成为Jumpshot面板的一部分,并且所有基于浏览器的互联网活动都将报告给Jumpshot。” 根据该文档,收集的数据将回答有关用户访问过哪些 URL 以及何时访问以及以何种顺序访问的问题。

该数据对Avast来说是一笔可观的收入。在Jumpshot与客户的合同中,一家营销公司在2019年为这些数据支付了超过200万美元,该数据为来自14个国家/地区的20个域提供了“ Insight Feed”。

该数据包括根据浏览行为推断出的用户性别,用户年龄,删除了个人身份信息的“整个URL字符串”以及其他详细信息。设备ID经过了哈希,以防止客户端识别个人身份,但是由于设备ID不会为用户更改,除非它们完全重新安装了Avast工具,这可能会随着时间的推移在一个用户上积累大量数据,导致可能的识别。

Avast告知调查“由于我们的方法,我们确保Jumpshot不会从使用我们流行的免费防病毒软件的人员那里获得个人身份信息,包括姓名,电子邮件地址或联系方式。”该公司在一份声明中继续重申用户有能力选择不共享数据,并且自2019年7月起已开始“为AV的所有新下载实施明确的选择加入”,而所有现有免费提示用户在2020年2月之前做出选择。

该公司还坚称,Avast遵守《加州消费者隐私法》和欧洲的GDPR。声明强调:”我们在保护用户设备和数据免受恶意软件侵害方面有着悠久的记录,我们理解并认真对待平衡用户隐私与必要使用数据的责任。

美国网件路由器漏洞导致TLS证书私钥被暴露给公众

最近,美国网件公司被发现在其无线路由器的固件中存在漏洞,导致路由器上的TLS证书私钥被暴露给公众。这些私钥可用于拦截和篡改安全连接(中间人攻击),从本质上讲,任何受感染的路由器都可以被劫持。

该报告由Aruba Networks的威胁研究人员Nicholas Starke和Businessolver软件架构主管Tom Pohl共同撰写。据二人称,他们是在寻找该公司固件中的漏洞时偶然发现已签名的TLS证书的私钥公开可用。‎

每台Netgear设备都至少有两个正在运行的签名TLS证书。 这些私钥可用于解密通过该设备的任何流量,因此会使用户面临暴露所有流量的风险。

此外,这些密钥可以从Netgear的支持网站上下载,竟然无需任何身份验证措施即可下载。

受影响的型号包括R8900,R9000,RAX120和XR700无线路由器。 尽管Netgear周一做出了回应,但由于尚未发布任何补丁程序,因此建议用户使用以下2个选项,直到问题解决为止:

  • ‎使用网件的Nighthawk应用程序‎
  • ‎使用 http 版本的routerlogin.com而不是通常的 https

研究人员指出,在1月14日他们发现了这些漏洞时,他们试图通过Twitter与团队取得联系,但无济于事。‎在1月15日,他们来到了Bugcrowd(致力于为客户找出软件漏洞的白帽社区),并试图“在Netgear Bug赏金计划之外建立通信渠道”。但是,仍然失败了,这导致研究人员于1月19日在Github上公开漏洞的所有内容。

联合国调查报告指控沙特王储使用以色列间谍软件侵入亚马逊总裁贝佐斯的iPhone手机

‎一份联合国调查报告指控价值数十亿美元的以色列NSO集团提供间谍软件来侵入亚马逊总裁杰弗里·贝佐斯(Jeffery Bezos)的iPhone手机,而黑客正是沙特王储穆罕默德·本·萨勒曼。‎

NSO Group是一个秘密的间谍软件公司,它因使其客户有能力进行网络攻击活动而闻名。‎‎该集团曾一度出现在新闻中,‎‎此前其一名员工涉嫌窃取公司机密,并意图在暗网上出售。‎

联合国星期三发表的报告称,沙特王储使用了由NSO集团开发的恶意间谍软件来入侵贝佐斯的iPhone手机,并偷走了包括他的裸照在内的敏感私人数据。

据联合国人权事务高级专员称,贝索斯的iPhone被NSO Group的间谍软件Pegasus入侵。

据报道,沙特王储与贝佐斯在2018年春季通过WhatsApp进行了简短的信息交流。 2018年5月1日,沙特王储穆罕默德·本·萨勒曼(Mohammed bin Salman)向贝佐斯发送了一个视频文件。 在看了视频后几小时内,贝佐斯的iPhone就发送了大量数据,从每天平均430KB的数据输出量增加到126MB,增长了29156%。数据激增持续数月,其上传速率比正常高出1.06亿%,这表明已访问了千兆字节的数据。

hack-jeff-bezoss-iphone-1

‎在‎‎由安全‎‎公司FTI咨询公司提供给联合国的报告‎‎全文中,‎‎贝佐斯iPhone被确定为型号为A1901,iPhone ‎‎X。‎‎攻击应该是通过加密的下载程序执行的,该下载器被嵌入到视频中,播放视频后下载器下载间谍代码以执行攻击。‎

‎据认为,王储顾问和朋友沙特·卡赫塔尼采购了袭击工具。Qahtani 是沙特网络安全、编程和无人机联合会主席,他以定期获取黑客工具而闻名,其间谍软件包括 NSO 集团的Pegasus或黑客团队的伽利略(Galileo)可能曾被用来获取数据。‎

NSO集团以前曾被指控向沙特阿拉伯,墨西哥,巴拿马和中东等国家提供间谍软件,以对其对手进行网络攻击。 但是,该公司否认有任何参与。

在联合国发表声明之前,沙特美国驻美国大使馆在推特上驳回了该报告,称该报告“荒唐”,同时要求进行全面调查。但联合国表示,有足够的证据开始刑事调查。

‎Google Play商店‎里发现了三个和印度间谍组织有关的恶意应用

‎趋势科技的研究小组在谷歌Play商店‎里发现了三个恶意应用程序,这些恶意应用利用了Android内核的严重漏洞。‎

‎callCam、Camero和FileCrypt三个应用程序主要是与摄影工具相关的程序,这些程序使用的是已被归类为‎‎CVE-2019-2215‎‎的活页夹漏洞。它是一种每个手机系统都在使用的进程间通信方法。

sidewinder-apt-google-play-store-malware

‎零项目的麦迪·斯通在去年10月首次发现了这个漏洞。这是一个本地特权相关漏洞,利用该漏洞,任何易受攻击的设备都可能获得完全root权限。如果与其他浏览器漏洞相结合使用,就可以远程利用此漏洞。‎

根据趋势科技研究人员的说法,这个Android漏洞自3月份以来一直在使用,大约7个月前,它被报告为‎‎以色列NSO集团‎‎开发的‎‎零日漏洞‎‎。据研究人员称,这些应用程序自同一时间以来也一直很活跃。‎

‎这三个应用程序已被从‎‎Play商店‎‎中删除,研究人员认为,印度间谍组织SideWinderAPT负责分发这些应用程序。卡巴斯基实验室认为,正是这个组织‎‎将目标对准巴基斯坦的军事基础设施‎‎。‎

趋势科技发现,Camero和FileCrypt应用程序会连接到远程C&C服务器的注入程序。 这些应用程序负责下载callCam应用的DEX文件,并利用漏洞升级权限或滥用辅助功能来安装该应用程序。

‎一旦callCam应用被安装以后,它会从桌面隐藏应用图标,并在后台工作以收集存储在设备上的数据,这些数据包括:‎

  • 保存的文件‎
  • 电池‎‎状态‎
  • 已安装的‎‎应用
  • 设备位置‎‎
  • 截屏
  • 设备信息
  • 相机和传感器相关信息
  • 从Twitter,Facebook和微信等社交应用收集数据
  • WiFi账户信息
  • Gmail,Yahoo Mail,Outlook,Chrome账户信息

‎正如在大多数此类恶意应用一样,一切都在发生时没有通知用户。这些应用使用各种技术来逃避检测,包括”混淆、数据加密和调用动态代码”。‎

‎此外,为了获得根特权和‎‎感染更多的Android手机‎‎,恶意应用还利用联发科芯片的MediaTek-SU驱动程序漏洞。


‎虽然恶意应用从 Play 应用商店中删除,但不能保证没有其他此类应用。因此,您需要非常仔细地下载应用程序。您可以通过访问 Android 手机上的”设置”菜单来检查您的设备是否受到感染。转到”设置”>应用管理器,并在显示的列表中找到应用,请卸载这些应用。‎