CISA下令联邦机构修复三星零日漏洞，该漏洞被用于间谍软件攻击

美国网络安全与基础设施安全局(CISA)今日下令联邦机构修复一个关键的三星漏洞，该漏洞已在零日攻击中被利用，在运行WhatsApp的设备上部署LandFall间谍软件。

该漏洞编号为CVE-2025-21042，是一个在三星libimagecodec.quram.so库中发现的越界写入安全漏洞，允许远程攻击者在运行Android 13及更高版本的设备上执行代码。

虽然三星在收到Meta和WhatsApp安全团队的报告后于4月修复了该漏洞，但Palo Alto Networks的Unit 42上周透露，攻击者自2024年7月以来一直在利用该漏洞，通过WhatsApp发送的恶意DNG图像部署先前未知的LandFall间谍软件。

间谍软件功能与影响范围

该间谍软件能够访问受害者的浏览历史、录制通话和音频、跟踪其位置，以及访问照片、联系人、短信、通话记录和文件。

根据Unit 42的分析，它针对多款三星旗舰机型，包括Galaxy S22、S23和S24系列设备，以及Z Fold 4和Z Flip 4。

Unit 42研究人员检查的VirusTotal样本数据显示，潜在目标位于伊拉克、伊朗、土耳其和摩洛哥，而C2域名基础设施和注册模式与来自阿联酋的Stealth Falcon行动中观察到的模式相似。

另一个线索是恶意软件加载器组件使用了"Bridge Head"名称，这是NSO Group、Variston、Cytrox和Quadream等商业间谍软件开发商常用的命名惯例。然而，LandFall无法与任何已知的间谍软件供应商或威胁组织明确关联。

CISA现已将CVE-2025-21042漏洞添加到其已知被利用漏洞目录中，该目录列出了被标记为在攻击中被积极利用的安全漏洞。根据具有约束力的操作指令(BOD) 22-01，CISA命令联邦民事执行分支(FCEB)机构在三周内（截至12月1日）保护其三星设备免受持续攻击。

FCEB机构是美国行政分支内的非军事机构，包括能源部、财政部、国土安全部和卫生与公众服务部。

虽然此具有约束力的操作指令仅适用于联邦机构，但CISA敦促所有组织尽快优先修复此安全漏洞。

“此类漏洞是恶意网络行为者的常见攻击媒介，对联邦企业构成重大风险，“CISA警告称。

网络安全机构补充道：“按照供应商说明应用缓解措施，遵循适用于云服务的BOD 22-01指南，如果缓解措施不可用，则停止使用该产品。”

今年9月，三星发布了安全更新，修复了另一个libimagecodec.quram.so漏洞(CVE-2025-21043)，该漏洞在其Android设备的零日攻击中被利用。