美國網絡安全和基礎設施安全局（CISA）近日將蘋果iOS、iPadOS以及Mitel SIP電話的兩個漏洞列入其“已知被利用漏洞”（KEV）目錄。這兩個漏洞分別是：

• CVE-2025-24200：蘋果iOS和iPadOS授權不當漏洞
• CVE-2024-41710：Mitel SIP電話參數(shù)注入漏洞

蘋果緊急修復零日漏洞，防止USB限制模式被繞過

本周，蘋果發(fā)布了緊急安全更新，修復了一個被追蹤為CVE-2025-24200的零日漏洞。蘋果認為該漏洞已被用于“極其復雜”的針對性攻擊中。攻擊者可能利用該漏洞在鎖定設備上禁用USB限制模式。

USB限制模式是蘋果在iOS 11.4.1中引入的一項安全功能，旨在防止通過Lightning端口對設備進行未經授權的訪問。該模式會在特定時間間隔后禁用iPhone Lightning端口的數(shù)據(jù)連接，但不會中斷充電過程。任何數(shù)據(jù)傳輸都需要用戶輸入密碼。

蘋果通過改進狀態(tài)管理修復了該漏洞。iOS 18.3.1和iPadOS 18.3.1的更新說明中提到：“物理攻擊可能會在鎖定設備上禁用USB限制模式。蘋果已獲悉該問題可能已被用于針對特定個人的極其復雜的攻擊。”

受該零日漏洞影響的設備包括：iPhone XS及更新機型、13英寸iPad Pro、12.9英寸第三代及更新iPad Pro、11英寸第一代及更新iPad Pro、第三代及更新iPad Air、第七代及更新iPad，以及第五代及更新iPad mini。此外，蘋果還發(fā)布了17.7.5版本，修復了12.9英寸第二代iPad Pro、10.5英寸iPad Pro和第六代iPad的問題。

攻擊背景：商業(yè)間諜軟件或物理訪問攻擊

蘋果并未公開披露利用該漏洞的攻擊細節(jié)或背后的威脅行為者。然而，Citizen Lab研究人員發(fā)現(xiàn)此次攻擊的情況表明，攻擊者可能使用了零日漏洞在高度針對性的攻擊中傳播商業(yè)間諜軟件。另一種可能是，蘋果已意識到其部分設備遭受了物理訪問攻擊，可能涉及使用Cellebrite等取證工具來解鎖和提取數(shù)據(jù)。

Mitel SIP電話漏洞被僵尸網絡利用

第二個被列入CISA KEV目錄的漏洞是CVE-2024-41710，該漏洞影響了Mitel 6800、6900和6900w系列SIP電話，包括通過R6.4.0.HF1（R6.4.0.136）版本的6970會議單元。

2024年7月中旬，Mitel通過固件更新修復了該漏洞。廠商警告稱，該漏洞的利用“可能允許具有管理員權限的認證攻擊者在啟動過程中因參數(shù)凈化不足而進行命令注入攻擊”。一個月后，PacketLabs研究員Kyle Burns發(fā)布了針對該漏洞的概念驗證（PoC）利用代碼。

2024年1月底，Akamai研究人員發(fā)現(xiàn)了一種新的基于Mirai的僵尸網絡Aquabot變種，該變種正在針對存在漏洞的Mitel SIP電話進行攻擊。Aquabot是一種基于Mirai的僵尸網絡，專門用于發(fā)起DDoS攻擊，其名稱來源于“Aqua”文件名，首次被報告于2023年11月。

由于這是Aquabot的第三個獨立迭代版本，Akamai將其標記為Aquabotv3。該僵尸網絡針對的是影響Mitel型號的命令注入漏洞CVE-2024-41710。Akamai在報告中指出：“第三個迭代版本增加了一項基于Mirai的僵尸網絡的新活動：當僵尸網絡捕獲某些信號時進行C2通信。這一點以及其他功能上的顯著差異，使得兩個版本明顯不同，支持將其區(qū)分為第三個變種。”

CISA要求聯(lián)邦機構限期修復漏洞

根據(jù)《減少已知被利用漏洞的重大風險的操作指令》（BOD 22-01），聯(lián)邦民事執(zhí)行局（FCEB）機構必須在規(guī)定日期前修復已識別的漏洞，以保護其網絡免受利用目錄中漏洞的攻擊。專家還建議私營組織審查該目錄并修復其基礎設施中的漏洞。

CISA要求聯(lián)邦機構在2025年3月5日之前修復此漏洞。