美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）近日將蘋(píng)果產(chǎn)品漏洞及TP-Link路由器漏洞納入其已知被利用漏洞（KEV）目錄。以下是相關(guān)漏洞詳情：

• CVE-2025-43200 蘋(píng)果多款產(chǎn)品未明確漏洞
• CVE-2023-33538（CVSS評(píng)分8.8）TP-Link多款路由器命令注入漏洞

蘋(píng)果iMessage漏洞遭間諜軟件利用

上周蘋(píng)果公司確認(rèn)，其已修復(fù)的Messages應(yīng)用漏洞CVE-2025-43200被Paragon公司的Graphite間諜軟件在野利用，專門(mén)針對(duì)記者群體實(shí)施攻擊。該科技巨頭于2025年2月10日通過(guò)發(fā)布iOS 18.3.1、iPadOS 18.3.1、iPadOS 17.7.5、macOS Sequoia 15.3.1、macOS Sonoma 14.7.4、macOS Ventura 13.7.4、watchOS 11.3.1和visionOS 2.3.1等系統(tǒng)版本修復(fù)此漏洞，同時(shí)解決的還包括WhatsApp漏洞CVE-2025-24200——該漏洞曾在"極其復(fù)雜"的定向攻擊中被利用。

蘋(píng)果在安全公告中說(shuō)明："處理通過(guò)iCloud鏈接分享的惡意制作照片或視頻時(shí)存在邏輯缺陷。蘋(píng)果獲悉有報(bào)告稱該漏洞可能已在針對(duì)特定目標(biāo)的極端復(fù)雜攻擊中被利用。"公司通過(guò)實(shí)施改進(jìn)的檢查機(jī)制修復(fù)了該漏洞。

本周公民實(shí)驗(yàn)室（Citizen Lab）證實(shí)，Paragon的Graphite間諜軟件被用于入侵完全更新后的iPhone設(shè)備，至少兩名歐洲記者成為攻擊目標(biāo)。調(diào)查組發(fā)現(xiàn)的取證證據(jù)顯示，被入侵手機(jī)曾與同一間諜服務(wù)器通信。蘋(píng)果已于今年早些時(shí)候秘密通知受害者，這標(biāo)志著Paragon工具在真實(shí)攻擊中的使用首次得到確認(rèn)。

2025年4月29日，蘋(píng)果向部分iOS用戶發(fā)出間諜軟件攻擊警報(bào)。取證分析確認(rèn)包括Ciro Pellegrino在內(nèi)的兩名記者感染了Graphite間諜軟件，兩起事件均關(guān)聯(lián)至同一攻擊者。蘋(píng)果隨后修補(bǔ)了攻擊中使用的零點(diǎn)擊漏洞（現(xiàn)編號(hào)為CVE-2025-43200），修復(fù)包含在iOS 18.3.1版本中。

Paragon終止意大利政府合作

本周初，Paragon指控意大利政府拒絕其協(xié)助調(diào)查間諜軟件濫用記者事件的提議，并宣布因此終止在意大利的合同。該公司聲稱其提出了驗(yàn)證工具是否被濫用的方案，但遭當(dāng)局拒絕。這是間諜軟件公司首次因涉嫌濫用而公開(kāi)終止客戶合作。Paragon確認(rèn)聲明內(nèi)容屬實(shí)但拒絕進(jìn)一步置評(píng)。

TP-Link路由器命令注入漏洞

CISA目錄新增的第二個(gè)漏洞是TP-Link多款路由器（TL-WR940N、TL-WR841N、TL-WR740N）/userRpm/WlanNetworkRpm組件存在的命令注入漏洞。

根據(jù)《降低已知被利用漏洞重大風(fēng)險(xiǎn)的第22-01號(hào)行動(dòng)指令》（BOD 22-01），聯(lián)邦民事行政部門(mén)（FCEB）機(jī)構(gòu)必須在規(guī)定期限內(nèi)修復(fù)目錄中的漏洞以防范相關(guān)攻擊。專家同時(shí)建議私營(yíng)機(jī)構(gòu)審查該目錄并修復(fù)自身基礎(chǔ)設(shè)施中的漏洞。CISA要求聯(lián)邦機(jī)構(gòu)最遲于2025年7月7日完成漏洞修復(fù)。