美国联邦机构关注iOS漏洞被多国黑客组织利用
美国网络安全与基础设施安全局(CISA)近日通报,多起针对iOS系统的零日漏洞利用事件被发现,涉及多个黑客组织。谷歌安全团队披露,名为Coruna的漏洞利用工具包被至少三类威胁行为体使用,包括俄罗斯间谍组织、中国金融动机黑客及某监控设备供应商客户。该工具包涵盖23个漏洞,可攻击iOS 13至17.2.1版本设备。
谷歌首次于2024年2月发现该工具包被用于某监控设备供应商客户的攻击行动,其利用的漏洞CVE-2025-23222已于13个月前修复。2025年7月,疑似俄罗斯间谍组织利用CVE-2023-43000攻击乌克兰目标相关网站。2025年12月,中国背景的经济动机黑客使用该工具包,谷歌成功获取完整利用工具包。
谷歌研究人员分析指出,该工具包包含多个已修复漏洞的利用链,覆盖从iOS 13.0到17.2.1版本的设备。工具包内部代号为Coruna,共收集到数百个样本,包含五条完整iOS利用链。23个漏洞中,部分漏洞未分配CVE编号,部分已被修复。
CISA仅将三个漏洞(CVE-2021-30952、CVE-2023-41974、CVE-2023-43000)列入其官方目录,并要求各联邦机构遵循厂商指导实施缓解措施,或在无补丁情况下停用相关产品。CISA警告称,此类漏洞是恶意网络行为体频繁使用的攻击途径,对联邦企业构成重大风险。
报告强调,漏洞利用技术的扩散可能反映“二手零日漏洞”黑市活跃,多个威胁行为体已掌握可复用、可修改的高级攻击技术。
编辑点评
此次事件揭示了全球网络安全生态中的深层问题:零日漏洞的非法交易与再利用已形成产业链。Coruna工具包的广泛传播表明,即使漏洞已修复,其利用技术仍可被黑客组织获取并用于定向攻击,尤其针对政府、军事及高价值个人目标。美国CISA的反应虽有限,但其对三个漏洞的公开警示,凸显了联邦层面对抗高级网络威胁的紧迫性。
从地缘政治角度看,俄罗斯、中国背景黑客组织同时使用同一工具包,反映出网络攻击手段的去国界化趋势。技术能力的交叉利用使国家间的网络对抗更具隐蔽性和复杂性,也加剧了西方对供应链安全和监控技术出口的担忧。谷歌获取完整工具包的事件,显示私营企业在威胁情报收集中的关键作用,但其披露范围与政府行动之间存在协调缺口。
未来,国际社会或需加强漏洞披露机制、推动零日漏洞共享与禁售公约,同时提升对“二手漏洞”市场的监管。各国政府与科技公司需建立更紧密的协作框架,以应对日益专业化的网络威胁。此次事件可能成为推动全球网络空间治理改革的催化剂。