iOS Mail应用零日漏洞被发现

安全小组ZecOps在iOS的Mail应用程序中发现了两个零日漏洞。其中一个漏洞使攻击者可以通过发送占用大量内存的电子邮件来远程感染iOS设备,而另一个漏洞则可以允许远程执行代码功能。据说成功利用这些漏洞可以使攻击者泄漏,修改和删除用户的电子邮件。

攻击的范围包括向受害者的邮箱发送特制电子邮件,使其能够在iOS 12上的iOS MobileMail应用程序或在iOS 13上发送的邮件中触发该漏洞。就其本身而言,这些缺陷不会给用户带来太大的风险,它们只会使攻击者泄漏,修改或删除电子邮件。但是,与另一种内核攻击(例如不可修补的Checkm8漏洞)结合使用,这些漏洞可能允许actor根目录访问特定目标设备。

Apple已修补了最新的iOS 13.4.5 Beta中的漏洞,并且将在iOS和iPadOS 13.4.5的下一个公开可用的iOS更新中修复此问题。该漏洞仅适用于默认的Apple Mail应用程序,不适用于Gmail或Outlook。但是,如果您担心潜在的安全和隐私问题,则可以使用另一个电子邮件应用程序,直到iOS 13.4.5公开发布为止。

Apple修补了可以劫持iPhone和MacBook相机的漏洞

一名有道德的“白帽”黑客在12月展示了使用苹果自己的应用程序,利用苹果未经修复的安全漏洞实现对用户相机和麦克风的无限制访问。

前亚马逊网络服务安全工程师Ryan Pickren在Apple的Safari中发现了七个零日漏洞,可用于劫持用户的相机。漏洞涉及Safari解析统一资源标识符,管理Web起源和初始化安全上下文的方式,其中三个漏洞使他通过诱骗用户访问恶意网站来访问摄像机。

唯一的要求是用户的摄像头必须信任视频会议站点,例如Zoom。如果满足该条件,则用户可以访问利用了攻击链的站点,黑客就可以访问用户的摄像头(包括iOS和macOS)。

Pickren已将他的研究提交给漏洞赏金计划,并为此获得75,000美元的报酬。苹果立即验证了所有七个漏洞,并在1月28日的Safari 13.0.5更新中修复了三个安全漏洞(允许相机劫持的安全漏洞)。剩下的四个苹果认为不那么严重的缺陷已在3月24日Safari 13.1发布中得以修复。

Pickren对《福布斯》表示:“像这样的错误表明,为什么用户永远不应该完全相信自己的相机是安全的,不管操作系统还是制造商。

Pickren通过“在软件中查找假设并违反这些假设以查看会发生什么”来发现了该错误。他指出,摄像头的安全模型很难破解,因为苹果公司要求几乎每个应用程序都必须获得对麦克风和摄像头的明确许可。这使得恶意的第三方应用在未经用户明确许可的情况下获得访问的可能性大大降低。

但是,该规则的例外是Apple自己的应用程序,例如Safari,Pickren能够利用此例外来发现了错误。

‎黑客利用智能门禁系统的漏洞发起 DDoS 攻击‎

根据‎SonicWall的最新发现‎‎,智能门禁和楼宇门禁控制系统目前是黑客发动分布式拒绝服务攻击或DDoS攻击的首要目标。‎

‎攻击者主要针对 Nortek 安全与控制 (NSC) 产品,该产品名为‎‎Linear eMerge E3,‎‎主要用于商业环境,如企业大楼、工厂和工业园区,用于监控进出的访客和员工。‎

到目前为止,SonicWall研究人员已经确定了2,300个易受攻击的访问系统。研究人员发现,Linear eMerge E3系统基于Linux,并通过使用嵌入式Web服务器的浏览器进行控制。

对‎‎智能门禁和楼宇门禁控制系统‎‎的攻击最初是由一家网络情报公司‎‎Bad Packets‎‎发现的,攻击是在‎‎2020年1月9日观察到的。自那时以来,攻击次数有所增加,在大约 100 个国家/地区,每天有数万台设备受到攻击。但是,大多数受影响的用户都位于美国。‎

另一方面,网络安全公司Applied Risk的研究人员表示,他们在2019年5月在同一系统中发现了十个严重的安全漏洞。这些漏洞是在eMerge E3系列1.00-06设备中发现的,但他们也发现一些旧版本受到相同漏洞的影响。‎

他们向NSC通报了有关漏洞的信息,但该公司尚未发布修补程序,尽管十个漏洞中有六个是非常严重的漏洞,并且CVSS v3的严重性评分为9.8-10 / 10。

SonicWall研究人员评估认为,黑客目前正在利用十个漏洞之一发起DDoS攻击,该漏洞是索引为CVE-2019-7256的命令注入错误,严重等级为10/10。

此问题是由于PHP函数的用户输入的过滤不当造成的,由于这些原因,未经身份验证的个人能够使用特别设计的HTTP请求运行任意命令。攻击成功后,攻击者可以轻松地用恶意软件感染设备并发起DDoS攻击。

‎Nortek已知晓报告的漏洞,但尚未生成修补程序。建议负责管理与NSC Linear eMerge E3链接的网络的系统管理员必须断开其系统与互联网的连接,或安装防火墙或‎‎VPN‎‎以限制对这些设备的访问。‎

CDPwn漏洞使数百万的思科企业级设备受到攻击

如果您的企业网络中有‎‎思科‎‎设备,您应该立即检查思科专有设备发现协议中新发现的 CDPwn 漏洞,并尽快实施修补程序。‎

由Armis研究人员发现并于去年以负责任的方式向思科披露了五个“ CDPwn”缺陷CVE-2020-3110,CVE-2020-3111,CVE-2020-3118,CVE-2020-3119和CVE-2020-3120,这些缺陷可能被利用来导致拒绝服务或远程执行代码。所有这些缺陷都会影响Cisco发现协议(一种运行在Cisco设备上的第2层协议)。

受影响设备:运行思科 FXOS 软件、思科 IP 摄像机固件、思科 IP 电话固件、思科 NX-OS 软件、Cisco IOS-XR 和 Cisco UCS Fabric的不同型号设备都受到一个或多个漏洞的影响。‎

不受影响设备:运行Cisco IOS和Cisco IOS-XE软件的路由器和交换机,以及Cisco ASA,Cisco Firepower 1000系列和Cisco Firepower 2100系列等防火墙。(尽管CVE-2020-3120影响Firepower 4100系列和Firepower 9300安全设备)。

“众所周知的安全最佳做法是在连接到不受信任网络的所有接口上禁用思科发现协议。每个安全公告都提供了有关如何确定设备中是否启用了思科专用设备发现协议以及如何禁用它的详细信息,”思科发言人指出。

“对于为某些功能而必须运行CDP的那些产品,鼓励客户遵循网络分段的最佳做法,以避免不受信任的设备发送CDP数据包或最终使用可用的软件修补程序升级这些设备。”

不用多说,修复应优先于CDP禁用。

漏洞如何被利用:

‎首先:思科 PSIRT 不知道任何 CDPwn 漏洞的恶意使用。‎
‎此外:这些漏洞不能从 Internet 或从其他广播域/子网进行利用 – 攻击者必须与受影响的设备位于同一广播域或子网中,才能利用这些缺陷。这意味着攻击者必须首先在目标网络中站稳脚跟。‎

CDPwn-exploitation

但是,一旦实现,就可以使用CDP漏洞执行以下操作:

  • 中断网络分段
  • 从IP电话和摄像头等设备中窃取信息,并从中窃听语音和视频数据/呼叫以及视频源
  • 窃取流经公司网络交换机和路由器的敏感公司数据
  • 通过利用MitM攻击来拦截和更改公司交换机上的流量,从而破坏设备通信

“CDP是一种协议,它基于在整个网络中发送的多播以太网数据包。例如,连接到受影响交换机的攻击者只需发送恶意制作的 CDP 数据包,这将触该漏洞并导致远程代码执行。不幸的是,发现的RCE漏洞都很容易被利用,无论是堆栈溢出还是堆溢出,都只采取了最小限度的缓解措施,以防止它们变成功能漏洞,”Armis 研究副总裁 Ben Seri 说。

正如 Armis 指出的,95% 以上的财富 500 强公司使用思科协作解决方案,而大量这些设备最终出现在攻击者认为极其有价值的地方:交易大厅、会议室、CEO 办公室等。

“虽然企业通常会使用网络分段作为将这些设备与网络其他部分隔离的方法,但 CDPwn 可用于突破这些边界,允许未经授权的访问和危害,”他们补充道。

著名防病毒软件Avast收集用户数据并出售给Google,Microsoft

调查称,Mac和Windows版本的Avast防病毒软件收集用户数据,并通过子公司Jumpshot将一些敏感信息出售给第三方,包括Google,Microsoft和Intuit。

Avast提供了多种免费和付费的防病毒和安全工具。这些工具非常流行,每月有超过4.35亿活跃用户在Mac,PC和移动设备上使用该工具,以保护其数据免受伤害。

作为其产品的一部分,Avast的软件提供了选择加入的选项,以允许公司收集某些类型的用户数据,然后通过子公司Jumpshot出售这些数据。 Vice和PC Mag使用泄露的用户数据,合同和其他文件进行的调查揭示了这些销售的范围以及公司销售数据的广度。

调查获得的数据表明,Avast 收集的信息范围很广,包括 Google 搜索、位置查找和 Google 地图中的 GPS 坐标、LinkedIn页面和 YouTube 视频列表。更令人不安的是,记录的匿名色情网站访问记录提供了用户访问网站的日期和时间,以及在某些情况下的搜索词和观看的视频。

尽管努力对数据匿进行了匿名化,但一些专家声称,非常具体的浏览数据可以用来找出身份。

该子公司声称它拥有来自1亿个设备的数据,而调查称Jumpshot将从Avast收集的数据重新打包为许多不同的包。 这还包括一个所谓的“所有点击源”选项,客户支付了数百万美元,以便能够跟踪用户在网站上的行为和活动。

客户名单包括许多主要公司,例如Google,Yelp,Microsoft和Pepsi。

Avast在一份声明中告诉调查者,它已停止向Jumpshot提供收集的浏览数据。

调查进一步从来源和泄露的文档中发现,Avast仍在进行收集,但是是通过防病毒软件本身而不是浏览器插件进行的。 在上周的一份内部文件中显示,Avast已开始要求免费的防病毒工具的用户再次选择加入数据收集。

一份内部手册建议说:“如果他们选择加入,该设备将成为Jumpshot面板的一部分,并且所有基于浏览器的互联网活动都将报告给Jumpshot。” 根据该文档,收集的数据将回答有关用户访问过哪些 URL 以及何时访问以及以何种顺序访问的问题。

该数据对Avast来说是一笔可观的收入。在Jumpshot与客户的合同中,一家营销公司在2019年为这些数据支付了超过200万美元,该数据为来自14个国家/地区的20个域提供了“ Insight Feed”。

该数据包括根据浏览行为推断出的用户性别,用户年龄,删除了个人身份信息的“整个URL字符串”以及其他详细信息。设备ID经过了哈希,以防止客户端识别个人身份,但是由于设备ID不会为用户更改,除非它们完全重新安装了Avast工具,这可能会随着时间的推移在一个用户上积累大量数据,导致可能的识别。

Avast告知调查“由于我们的方法,我们确保Jumpshot不会从使用我们流行的免费防病毒软件的人员那里获得个人身份信息,包括姓名,电子邮件地址或联系方式。”该公司在一份声明中继续重申用户有能力选择不共享数据,并且自2019年7月起已开始“为AV的所有新下载实施明确的选择加入”,而所有现有免费提示用户在2020年2月之前做出选择。

该公司还坚称,Avast遵守《加州消费者隐私法》和欧洲的GDPR。声明强调:”我们在保护用户设备和数据免受恶意软件侵害方面有着悠久的记录,我们理解并认真对待平衡用户隐私与必要使用数据的责任。