美国CISA周五直接把五个已经被野外利用的漏洞塞进了KEV目录,限期联邦机构在2026年4月3日前全部打完补丁。这批漏洞横跨苹果、Craft CMS和Laravel Livewire,个个来头不小。
先说苹果的三枚。CVE-2025-31277,WebKit内存破坏,CVSS 8.8分,去年7月就修了。CVE-2025-43510和CVE-2025-43520都是内核内存破坏,CVSS分别是7.8和8.8,去年12月修补。谷歌威胁情报组、iVerify和Lookout联合爆料,这三枚被一个叫DarkSword的iOS漏洞利用套件串联起来,配合另外三个漏洞投放GHOSTBLADE、GHOSTKNIFE、GHOSTSABER等恶意软件家族,专门偷数据。攻击链完整到吓人。
Craft CMS的CVE-2025-32432更狠,CVSS直接拉满10.0,远程代码执行,去年4月修复。Orange Cyberdefense SensePost确认,这漏洞从2025年2月起就被未知攻击者当零日用。之后又被追踪为Mimo(也叫Hezb)的团伙拿来挖矿+部署住宅代理。零日转活跃利用,速度快得离谱。
最后一个是Laravel Livewire的CVE-2025-54068,CVSS 9.8,无认证远程命令执行,去年7月打补丁。Ctrl-Alt-Intel威胁研究团队最近刚点名,说伊朗国家支持的黑客组织MuddyWater(又叫Boggy Serpens)正在用它搞攻击。Palo Alto Networks Unit 42本周刚发报告,把这伙人盯得死死的。
MuddyWater主打网络间谍,目标锁定中东外交和关键基础设施,能源、海事、金融一个不落。社会工程学是老本行,现在技术能力明显升级,用AI辅助开发恶意软件,加入反分析手法来长期驻留。他们还搞了个定制的web端编排平台,能批量发钓鱼邮件,还能精细控制发件人身份和目标名单。报告里提到,从2025年8月16日到2026年2月11日,他们对阿联酋一家国家级海事能源公司发动了四波攻击,投放了GhostBackDoor、Nuso(HTTP_VIP)、UDPGangster、LampoRAT(CHAR)等工具。Rust语言开发、AI工作流并行推进,冗余性拉满,运营节奏根本停不下来。
这伙人背后是伊朗情报与安全部(MOIS),除了间谍活动,还冒充DarkBit勒索软件搞破坏性操作,比如之前攻击以色列理工学院。经典套路就是劫持政府和企业官方账号发鱼叉邮件,借用可信关系绕过声誉过滤。技术+社会工程双管齐下,威胁等级已经不是简单叠加。
加密市场这边风平浪静,BTC现报$70,631(24h -0.47%),ETH现报$2,155(24h -0.12%),主流币种波动都在2%以内,资金明显在观望。安全事件频发往往让机构资金更谨慎,短期内难看到大资金回流。
CISA这次动作快,KEV目录更新就是信号弹。苹果生态用户、企业站长、Laravel开发者都得立刻核对版本。拖到4月3日,联邦机构要是还没动,CISA可不会客气。野外利用链条已经成型,再不补就是给攻击者送人头。MuddyWater这类国家级玩家一旦盯上你,补丁没打完基本等于开门揖盗。安全从来不是等出事了再后悔的事,现在就动起来。