美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）近日將蘋(píng)果iOS、iPadOS以及Mitel SIP電話的兩個(gè)漏洞列入其“已知被利用漏洞”（KEV）目錄。這兩個(gè)漏洞分別是：

• CVE-2025-24200：蘋(píng)果iOS和iPadOS授權(quán)不當(dāng)漏洞
• CVE-2024-41710：Mitel SIP電話參數(shù)注入漏洞

蘋(píng)果緊急修復(fù)零日漏洞，防止USB限制模式被繞過(guò)

本周，蘋(píng)果發(fā)布了緊急安全更新，修復(fù)了一個(gè)被追蹤為CVE-2025-24200的零日漏洞。蘋(píng)果認(rèn)為該漏洞已被用于“極其復(fù)雜”的針對(duì)性攻擊中。攻擊者可能利用該漏洞在鎖定設(shè)備上禁用USB限制模式。

USB限制模式是蘋(píng)果在iOS 11.4.1中引入的一項(xiàng)安全功能，旨在防止通過(guò)Lightning端口對(duì)設(shè)備進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。該模式會(huì)在特定時(shí)間間隔后禁用iPhone Lightning端口的數(shù)據(jù)連接，但不會(huì)中斷充電過(guò)程。任何數(shù)據(jù)傳輸都需要用戶輸入密碼。

蘋(píng)果通過(guò)改進(jìn)狀態(tài)管理修復(fù)了該漏洞。iOS 18.3.1和iPadOS 18.3.1的更新說(shuō)明中提到：“物理攻擊可能會(huì)在鎖定設(shè)備上禁用USB限制模式。蘋(píng)果已獲悉該問(wèn)題可能已被用于針對(duì)特定個(gè)人的極其復(fù)雜的攻擊。”

受該零日漏洞影響的設(shè)備包括：iPhone XS及更新機(jī)型、13英寸iPad Pro、12.9英寸第三代及更新iPad Pro、11英寸第一代及更新iPad Pro、第三代及更新iPad Air、第七代及更新iPad，以及第五代及更新iPad mini。此外，蘋(píng)果還發(fā)布了17.7.5版本，修復(fù)了12.9英寸第二代iPad Pro、10.5英寸iPad Pro和第六代iPad的問(wèn)題。

攻擊背景：商業(yè)間諜軟件或物理訪問(wèn)攻擊

蘋(píng)果并未公開(kāi)披露利用該漏洞的攻擊細(xì)節(jié)或背后的威脅行為者。然而，Citizen Lab研究人員發(fā)現(xiàn)此次攻擊的情況表明，攻擊者可能使用了零日漏洞在高度針對(duì)性的攻擊中傳播商業(yè)間諜軟件。另一種可能是，蘋(píng)果已意識(shí)到其部分設(shè)備遭受了物理訪問(wèn)攻擊，可能涉及使用Cellebrite等取證工具來(lái)解鎖和提取數(shù)據(jù)。

Mitel SIP電話漏洞被僵尸網(wǎng)絡(luò)利用

第二個(gè)被列入CISA KEV目錄的漏洞是CVE-2024-41710，該漏洞影響了Mitel 6800、6900和6900w系列SIP電話，包括通過(guò)R6.4.0.HF1（R6.4.0.136）版本的6970會(huì)議單元。

2024年7月中旬，Mitel通過(guò)固件更新修復(fù)了該漏洞。廠商警告稱，該漏洞的利用“可能允許具有管理員權(quán)限的認(rèn)證攻擊者在啟動(dòng)過(guò)程中因參數(shù)凈化不足而進(jìn)行命令注入攻擊”。一個(gè)月后，PacketLabs研究員Kyle Burns發(fā)布了針對(duì)該漏洞的概念驗(yàn)證（PoC）利用代碼。

2024年1月底，Akamai研究人員發(fā)現(xiàn)了一種新的基于Mirai的僵尸網(wǎng)絡(luò)Aquabot變種，該變種正在針對(duì)存在漏洞的Mitel SIP電話進(jìn)行攻擊。Aquabot是一種基于Mirai的僵尸網(wǎng)絡(luò)，專(zhuān)門(mén)用于發(fā)起DDoS攻擊，其名稱來(lái)源于“Aqua”文件名，首次被報(bào)告于2023年11月。

由于這是Aquabot的第三個(gè)獨(dú)立迭代版本，Akamai將其標(biāo)記為Aquabotv3。該僵尸網(wǎng)絡(luò)針對(duì)的是影響Mitel型號(hào)的命令注入漏洞CVE-2024-41710。Akamai在報(bào)告中指出：“第三個(gè)迭代版本增加了一項(xiàng)基于Mirai的僵尸網(wǎng)絡(luò)的新活動(dòng)：當(dāng)僵尸網(wǎng)絡(luò)捕獲某些信號(hào)時(shí)進(jìn)行C2通信。這一點(diǎn)以及其他功能上的顯著差異，使得兩個(gè)版本明顯不同，支持將其區(qū)分為第三個(gè)變種?！?/p>

CISA要求聯(lián)邦機(jī)構(gòu)限期修復(fù)漏洞

根據(jù)《減少已知被利用漏洞的重大風(fēng)險(xiǎn)的操作指令》（BOD 22-01），聯(lián)邦民事執(zhí)行局（FCEB）機(jī)構(gòu)必須在規(guī)定日期前修復(fù)已識(shí)別的漏洞，以保護(hù)其網(wǎng)絡(luò)免受利用目錄中漏洞的攻擊。專(zhuān)家還建議私營(yíng)組織審查該目錄并修復(fù)其基礎(chǔ)設(shè)施中的漏洞。

CISA要求聯(lián)邦機(jī)構(gòu)在2025年3月5日之前修復(fù)此漏洞。