现在已经打了补丁的Pegasus iPhone攻击是近年来看到的最复杂的攻击之一。在研究了多次成为头条新闻的iMessage安全漏洞后，来自Project Zero的Google研究人员将其描述为“技术上最复杂的漏洞之一”。 他们称，NSO集团的工具在复杂程度上跟民族国家间谍工具不相上下。而NSO的客户–包括极权主义政权–已经使用PegASUS来监视毫无戒心的iPhone用户。这种零日攻击通过iMessage在iPhone上安装恶意代码，而用户甚至没有都没有信息互动–这就是它的可怕之处。 Pegasus iPhone攻击已经给公司带来了相当戏剧性的后果。美国政府在Pegasus事件被披露后将这家以色列安全软件开发商列入禁止名单。此外，苹果在修补安全漏洞后起诉了这家公司。另外，苹果已经开始通知过去可能成为Pegasus目标的iPhone用户。 Pegasus受害者名单通常包括持不同政见者、记者或政治家，而非普通的终端用户。苹果已经发布了补丁以化解让Pegasus悄悄入侵iPhone的安全漏洞的风险。来自Project Zero的Google安全研究人员则获得了Pegasus的样本并确定了这个先进间谍工具在iPhone上的工作方式。 NSO集团可怕的复杂iMessage攻击 Project Zero的Google研究人员公布了Pegasus分析的第一部分。他们还跟The Wired分享了Pegasus如何在目标不知情的情况下入侵iPhone的简要说明。 Project Zero的Ian Beer和Samuel Groß告诉The Wired：“我们还没有见过这样一个被外部利用的漏洞从如此有限的起点建立起同等的能力，如不跟攻击者的服务器互动、无需加载JavaScript或类似的脚本引擎，等等。在安全界有许多人认为这种类型的利用–单次远程代码执行–是一个已解决的问题。他们认为，移动设备所提供的缓解措施的分量太重无法建立一个可靠的单次攻击的漏洞。这表明，它不仅是可能的，而且在野外被可靠地用来对付人。” Pegasus如何攻击iPhone ForcedEntry是iOS漏洞的名称，它让Pegasus的iPhone黑客攻击成为可能。NSO的黑客们想出了一个办法，利用iMessage处理GIF文件的播放方式将一个伪装成GIF的PDF文件偷偷带入。然后他们利用了一个压缩工具的漏洞，该工具处理来自物理扫描仪的图像中的文本。这个可以追溯到20世纪90年代的工具仍在像iPhone这样的现代计算机中找到它的方式。 如果这还不够，ForcedEntry建立了一种虚拟计算机，然后在iMessage中运行。这是因为恶意软件需要跟一个指挥和控制中心进行对话，而该中心会发出指令。这种行为使攻击更难被发现。 另外，Pegasus还不需要用户的任何输入，攻击者只需要一个电话号码或苹果ID就可以通过iMessage发送有效载荷。屏幕上不会显示任何信息。一旦无形的信息进入iPhone，iPhone攻击就会成功。从那时起，目标根本就不知道有人闯入他们的iPhone。 Project Zero研究人员在谈到ForcedEntry时感叹道：“这太不可思议了，同时也非常可怕。” 运行最新iOS版本的iPhone用户有反Pegasus的保护措施。这并不意味着类似的安全公司已经停止为iPhone设计间谍工具，只是ForcedEntry攻击将不再适用于运行最新软件的设备。 另外，Pegasus的目标已经开始收到苹果关于黑客攻击的通知。   （消息及封面来源：cnBeta）

就在我们了解到国家支持的黑客已经开始研究上周震惊网络安全界的Log4j漏洞问题时，其他研究人员发出了一个令人不安的发展信号。Log4j黑客，也被称为Log4Shell已经有一个补丁，已经可以部署到企业。但事实证明，这个补丁玩起了“套娃”：它解决原有问题的同时又产生新的安全问题，且可以被外部利用。因此，希望保护他们的系统免受Log4j攻击的公司必须部署一个新的补丁，修复之前的补丁。 正如我们在以前的报道中所解释的，Log4j黑客是非常危险的。这是因为它几乎影响到所有提供互联网服务的公司。这个安全漏洞存在于一个被广泛使用的Java日志工具中。自上周四披露以来，网络安全研究人员已经目睹了数十万次利用该漏洞的尝试。这包括来自国家支持的黑客的攻击，与大多数黑客相比，他们拥有大量可支配的资源。只要互联网公司不对他们的系统应用现有的Log4j补丁，他们就会面临风险。 黑客可以利用Log4j黑客技术，在没有密码的情况下进入计算机服务器。从那里，他们可以安装其他恶意程序。这些工具将让他们窃取信息，进行勒索软件攻击，或挖掘加密货币。根据最初描述安全问题的报告，有人利用了《Minecraft》里面的漏洞。微软很快给Minecraft打了补丁，并不断发布关于Log4j漏洞在外部世界的安全更新。 普通的终端用户无法自己修复Log4j黑客的问题。这并不像将操作系统或应用程序更新到最新、最安全的版本那样容易。是互联网公司必须部署最新的Log4j补丁来保护服务器。 但安全研究人员已经发现，Apache基金会上周发布的Log4j 2.15.0补丁至少有两个需要修复的漏洞。报告说，已经安装了Log4j 2.15.0的企业应该尽快安装2.16.0版本。 根据一些研究人员的说法，Log4j 2.15.0的补丁”在某些非默认配置中”并不完整。反过来，这使得攻击者可以对打了补丁的系统发动攻击。来自Praetorian的安全研究人员也详细介绍了新的安全问题，他们解释说，黑客仍然可以从已经部署了Log4j 2.15.0补丁的服务器上窃取数据。 “在我们的研究中，我们已经证明2.15.0在某些情况下仍然可以实现敏感数据的渗出，”研究人员说。”我们已经把这个问题的技术细节传递给了Apache基金会，但在这期间，我们强烈建议客户尽快升级到2.16.0。” Praetorian发布了对Log4j 2.15.0补丁的概念证明攻击，但没有披露使其成为可能的技术细节。 了解更多： https://github.com/cckuailong/Log4j_CVE-2021-45046   （消息及封面来源：cnBeta）

Google的安全研究人员对NSO集团的一个零点击iMessage进行了深入研究，并揭示了该公司攻击的复杂性。Google Project Zero（零点项目）指出，ForcedEntry零点击漏洞–它已被用来针对活动家和记者–是“我们所见过的技术中最复杂的漏洞之一”。 另外，它还说明了NSO集团的能力可以跟那些国家行为者相媲美。 苹果于2021年9月中旬在iOS 14.8中修补了零点击漏洞，指定为CVE-2021-30860。 该漏洞超越了所谓的一键式点击，即依靠目标点击一个链接。Project Zero指出，NSO集团开发的PegASUS软件的初始入口是iMessage的加密信息平台。研究人员写道：“这意味着只需要受害者用他们的电话号码或AppleID用户名就可以被定为目标。” 一旦消息被发送给用户，该漏洞就能依赖于iMessage接受和解码GIF图像等文件的方式的漏洞。从那里开始，它会欺骗平台打开恶意的PDF而不需要用户的任何互动。 更具体地说，确切的漏洞存在于一个用于识别图像中文本的传统压缩工具中。然而一旦被利用，它允许NSO集团的客户完全接管一部iPhone。 该攻击的复杂性的迹象超出了最初的利用。据Project Zero称，ForcedEntry甚至还建立了自己的虚拟化命令和控制环境，而不是直接与服务器进行通信，这使得它更难被发现。 像ForcedEntry这样由NSO集团制造的攻击已经被政府多次用来攻击记者、活动家和政治异见人士。至少在一个案例中，NSO集团的间谍软件被用来对美国国务院官员发起定向攻击。 苹果早在11月就起诉了NSO集团以寻求让该集团为其对iPhone用户的监控负责。12月，有报道称，在诉讼和批评的压力下，NSO集团正在考虑放弃其Pegasus间谍软件。   （消息及封面来源：cnBeta）

网络安全专家认为 CVE-2021-44228 的普遍性以及容易被利用，这个 Log4j 中的远程代码执行漏洞可能需要数月甚至数年时间才能得到妥善解决。McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 表示，Log4Shell 的破坏力完全和 Shellshock、Heartbleed 和 EternalBlue 同一个级别。 Povolny 表示：“攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘，或利用互联网上的合法计算资源来产生加密货币以获取经济利益…… 进一步的利用似乎已经转向盗窃私人信息。可以预见，这种攻击即将会发生演变”。 Povolny 补充说，该漏洞的影响可能是巨大的，因为它是“可蠕虫式的，可以建立自己的传播”。即使有了补丁，也有几十个版本的脆弱组件。由于已经观察到的攻击数量巨大，Povolny 说“可以假定许多组织已经被攻破”，并需要采取事件响应措施。 Povolny 说：“我们相信 log4shell 漏洞将持续数月甚至数年，随着补丁越来越多地推出，在未来几天和几周内将会大幅减少”。自12月9日以来，Sophos 高级威胁研究员 Sean Gallagher 说，使用该漏洞的攻击从试图安装硬币矿工–包括Kinsing矿工僵尸网络–演变为更复杂的努力。 Gallagher 表示：“最近的情报显示，攻击者正试图利用该漏洞暴露亚马逊网络服务账户使用的密钥。还有迹象表明，攻击者试图利用该漏洞在受害者网络中安装远程访问工具，可能是Cobalt Strike，这是许多勒索软件攻击中的一个关键工具”。   （消息及封面来源：cnBeta）

虽然概念验证代码是上周四发布的，但有证据表明已经有黑客在 2 周前利用 Log4Shell 漏洞发起攻击了。根据 Cloudflare 和 Cisco Talos 的数据，第一批攻击是在 12 月 1 日和 12 月 2 日观察到的。 虽然大规模的攻击利用是在上周末开始的，但这一启示意味着安全团队需要扩大他们的事件响应调查，为了安全起见针对他们的网络检查要追溯到 11 月初。目前，滥用 Log4Shell 漏洞的攻击仍然是温和（tame）的–如果这个词甚至可以用来描述对安全漏洞的滥用。 大量的攻击来自于专业的密码挖掘和 DDoS 僵尸网络，如 Mirai、Muhstik 和 Kinsing，它们通常在所有人之前率先利用任何有意义的企业漏洞。但在周末的一篇博客文章中，微软表示，它开始观察到 Log4Shell 被用来部署网络外壳和Cobalt Strike信标（后门）的第一个实例。 CISA、NSA和一些网络安全公司在过去一年中多次警告说，网络外壳和Cobalt Strike信标的组合通常是民族国家集团和勒索软件团伙在攻击中部署的第一个工具，因此，虽然未经证实，但如果我们在今天结束前得到第一个滥用Log4Shell的勒索软件集团，不要感到惊讶。 现在，对易受Log4Shell漏洞影响的互联网连接系统的扫描绝对是通过屋顶。安全公司Kryptos Logic周日表示，它检测到超过10,000个不同的IP地址探测互联网，这是上周五探测Log4Shell的系统数量的100倍。 并非所有这些流量都是坏的，因为也有白帽安全研究人员和安全公司在寻找易受攻击的系统，但大的情况是，威胁者已经闻到了血腥味，IT管理员应该看看他们基于Java的系统是否有易受Log4Shell攻击。   （消息及封面来源：cnBeta）

安全研究人员对市场上主流的 9 款热门路由器进行了测试，即便运行最新的固件版本，还是发现了总计 226 个漏洞。本次测试的路由器品牌包括 Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology 和 Linksys，并被数百万人使用。 IoT Inspector 的研究人员与 CHIP 杂志合作进行了安全测试，重点是主要由小公司和家庭用户使用的型号。 就漏洞数量而言，排在前列的是 TP-Link Archer AX6000，有 32 个缺陷；以及 Synology RT-2600ac，有 30 个安全漏洞。 IoT Inspector 的首席技术官兼创始人 Florian Lukavsky 通过电子邮件告诉 BleepingComputer：“对于 Chip 的路由器评估，供应商向他们提供了主流型号，这些型号被升级到最新的固件版本”。 IoT Inspector 自动分析了这些固件版本，并检查了 5000 多个 CVE 和其他安全问题。他们的发现表明，许多路由器仍然容易受到公开披露的漏洞的影响，即使使用最新的固件，如下表所示： 虽然不是所有的缺陷都有相同的风险，但该团队发现了一些影响大多数测试机型的常见问题。 ● 固件使用过时的 Linux 内核 ● 过时的多媒体和VPN功能 ● 过度依赖旧版本的BusyBox ● 使用弱的默认密码，如”admin” ● 以纯文本形式存在的硬编码凭证 IoT Inspector 的首席执行官 Jan Wendenburg 指出，确保路由器安全的最重要方法之一是在首次配置设备时更改默认密码。他表示：“在第一次使用时更改密码，并启用自动更新功能，必须成为所有物联网设备的标准做法，无论设备是在家里还是在企业网络中使用”。 研究人员没有公布很多关于他们发现的技术细节，只有一个关于提取D-Link路由器固件图像的加密密钥的案例。该团队找到了一种方法，在 D-Link DIR-X1560 上获得本地权限，并通过物理 UART 调试接口获得 shell 权限。 接下来，他们使用内置的 BusyBox 命令转储了整个文件系统，然后找到了负责解密程序的安装文件。通过分析相应的变量和函数，研究人员最终提取了用于固件加密的AES密钥。 利用该密钥，威胁者可以发送恶意的固件图像更新，以通过设备上的验证检查，有可能在路由器上植入恶意软件。这种问题可以通过全盘加密来解决，这种加密可以保证本地存储的图像的安全，但这种做法并不常见。   （消息及封面来源：cnBeta）

ARSTechnica 报道称：约有上万台 Palo Alto Networks 的 GlobalProtect 企业虚拟专用网服务器，受到了 CVE-2021-3064 安全漏洞的影响。然而为了修复这个评级 9.8 / 10 的高危漏洞，Randori 也苦等了 12 个月。这家安全公司指出，在最初发现后的大部分时间里，他们一直在私下努力帮助客户努力应对现实世界的威胁。 （图自：Palo Alto Networks） 按照通用漏洞披露流程，安全专家更希望厂商尽快修复安全漏洞。至于 CVE-2021-3064 这个缓冲区溢出漏洞，它会在解析堆栈上固定长度位置的用户提供的输入时出现问题。 从 Randori 开发的概念验证方法可知，该漏洞或造成相当大的危害。研究人员在上周三指出： 我公司团队能够访问受影响目标 Shell、敏感配置数据、并提取相关凭证。一旦攻击者控制了防火墙，就可以在企业内网肆无忌惮地扩散。 由于过去几年，黑客积极利用了来自 Citrix、微软和 Fortinet 等企业的大量防火墙 / 虚拟专用网漏洞，政府已于今年早些时候发出过一份安全警示。 同样遭殃的还有来自 Pulse Secure 和 Sonic Wall 等厂商的产品，以及最新披露的 Palo Alto Networks 的 GlobalProtect 解决方案。 据悉，GlobalProtect 提供了一个管理门户，可锁定网络端点、保护可用网关信息、连接所需的可用证书、控制应用软件的行为、以及分发到 macOS 和 Windows 终端的应用。 庆幸的是，CVE-2021-3064 仅影响 PAN-OS 8.1.17 之前版本的 GlobalProtect 虚拟专用网软件。 尴尬的是，尽管已经过去了一年，Shodan 数据还是显示有上万台互联网服务器正在运行（早期预估为 70000）。 独立研究员 Kevin Beaumont 表示，其开展的 Shodan 检索表明，所有 GlobalProtect 实例中、约有一半是易受攻击的。 最后，安全专家建议任何使用 Palo Alto Networks 公司 GlobalProtect 平台的组织，都应仔细检查并尽快修补任何易受攻击的服务器。   （消息及封面来源：cnBeta）

随着公开漏洞利用代码和一款概念验证工具的发布，美国网络与基础设施安全局（CISA）也及时地向供应商发去了通报，以敦促其尽快修复影响数十亿设备（手机 / PC / 玩具）的拒绝服务（DoS）和代码执行攻击漏洞。ThreatPost 指出，用于测试新曝光的蓝牙 BrakTooth 漏洞的概念验证工具的保密期已结束，相关测试套件和完整漏洞利用代码现已向公众开放访问。 BrakTooth 漏洞检测与利用工具概念验证代码已上线 GitHub（来自：CISA） 据悉，BrakTooth 是一系列影响 1400 多款蓝牙商用产品的缺陷，数十亿受影响的设备都依赖于经典蓝牙协议来通讯。 正如原文指出的那样，攻击者只需找到现成的售价仅 14.80 美元的 ESP32 板子（AliExpress 上的同类产品甚至低到 4 美元）。 然后利用自定义链接管理协议（LMP）固件，即可在计算机上运行 BrakTooth 漏洞的概念验证攻击代码。 受影响的蓝牙 SoC 厂商与型号列表 早在 9 月发表的一篇论文中，新加坡大学研究人员就已经披露了最初的 16 个漏洞（现已多达 22 个），并将其统称为“BrakTooth”。 他们在 1400 多款嵌入式芯片组件中所使用的闭源商用 BT 堆栈中发现了漏洞，并详细说明了它们可能导致的一系列攻击类型。除了常见的拒绝服务（DoS），其中一个漏洞还可能导致任意代码执行（ACE）。 自论文发表以来，已有不少厂商发布了修补更新。与此同时，研究人员也曝光了更多易受攻击的设备，甚至苹果 iPhone 智能机 / MacBook 笔记本电脑也未能幸免。 此外 BrakTooth 漏洞还影响到了微软 Surface、戴尔台式 / 笔记本电脑、索尼 / OPPO 智能机、以及沃尔玛 / 松下等品牌的音频设备。 受影响设备的漏洞补丁状态和 SDK / 固件版本 截止 9 月，该团队已分析 11 家供应商的 13 款 BT 硬件，并列出了 20 份通用漏洞披露（CVE）公告 —— 其中四个来自英特尔和高通。 不久后，高通发布了 V6（8.6）和 V15（8.15）的 CVE，但研究人员指出或许仍有许多其它产品未被他们统计在内，比如片上系统（SoC）、BT 模块和其它 BT 终端产品。 周一的时候，芯片组供应商 Airoha、联发科和三星陆续披露了旗下某些设备易受攻击的报告。 英特尔、高通和三星的部分设备仍在等待补丁，但来自高通和德州仪器（TI）的某些产品已被列入不打算修复的列表，还有不少供应商正在调查此问题。   （消息及封面来源：cnBeta）