三星Galaxy零日漏洞CVE-2025-21042遭LANDFALL间谍软件利用

本文详细分析了三星Galaxy设备中的关键零日漏洞CVE-2025-21042,该漏洞存在于图像处理库中,可通过特制DNG文件实现远程代码执行。LANDFALL间谍软件利用此漏洞进行定向攻击,影响中东多国用户。文章提供了漏洞技术细节、影响范围和防护建议。

三星Galaxy零日漏洞CVE-2025-21042遭LANDFALL间谍软件利用

漏洞概述

近期,一个被标识为CVE-2025-21042的关键零日漏洞在三星Galaxy设备上被积极利用,对全球用户构成重大安全风险。这一漏洞已被复杂的LANDFALL间谍软件活动利用,通过无需用户交互的隐蔽攻击方式针对多个国家的高价值目标。

CVE-2025-21042技术分析

CVE-2025-21042是三星Galaxy图像处理库中的关键内存损坏漏洞,具体存在于libimagecodec.quram.so组件中。该漏洞允许通过特制的数字负片(DNG)图像文件实现远程代码执行,当设备处理恶意图像时触发。重要的是,此漏洞利用完全不需要用户交互——攻击者仅需通过WhatsApp等常见消息应用发送恶意图像即可入侵设备。

受影响的设备包括运行Android 13、14和15版本的流行三星Galaxy型号,包括Galaxy S22、S23、S24系列,以及Z Fold 4和Z Flip 4等可折叠设备。三星已在2025年4月的安全维护版本中修补了此漏洞,但未打补丁的设备仍然高度脆弱。

LANDFALL间谍软件攻击活动

LANDFALL间谍软件是一款商业级间谍工具,正在积极利用CVE-2025-21042。该间谍软件已被用于主要在中东地区(包括伊拉克、伊朗、土耳其和摩洛哥)的定向间谍活动。一旦被利用,恶意软件将获得对敏感数据的广泛访问权限,包括音频录制、地理位置、照片、联系人和通话记录。

攻击者采用高级技术,如SELinux策略绕过以实现权限提升、进程注入和加密的命令与控制通信,这使得检测和缓解变得具有挑战性。这种零点击漏洞利用增强了威胁的严重性,允许攻击者在用户仅接收恶意图像的情况下完全绕过用户意识。

CISA已知被利用漏洞目录收录

认识到CVE-2025-21042的关键性质和积极利用情况,美国网络安全和基础设施安全局(CISA)已将此漏洞添加到其已知被利用漏洞(KEV)目录中。这一收录强调了组织和用户应用补丁和实施检测控制的紧迫性。

CISA KEV详情

  • CVE标识符:CVE-2025-21042
  • 漏洞类型:三星Galaxy图像编解码器中的越界写入(libimagecodec.quram.so)
  • 攻击向量:通过特制DNG图像文件远程攻击
  • 影响:无需用户交互的远程代码执行(零点击)
  • 补丁状态:2025年4月发布补丁(三星SMR)
  • 已知利用:确认被LANDFALL间谍软件积极利用
  • CISA指令:建议立即打补丁和进行威胁狩猎

缓解措施和建议

  1. 应用补丁:用户和组织必须立即使用2025年4月安全维护版本更新其三星设备,以修复CVE-2025-21042。

  2. 监控消息渠道:检查消息应用中的可疑或未经请求的图像,特别是DNG文件,并教育用户相关风险。

  3. 威胁狩猎:安全团队应部署检测机制,在网络和设备遥测数据中识别LANDFALL间谍软件的指标。

  4. 遵循CISA指南:及时了解CISA KEV更新,并实施推荐的安全措施以减少暴露风险。

结论

CVE-2025-21042代表了一个被复杂的LANDFALL间谍软件活动大规模利用的高风险漏洞。其零点击执行能力使攻击者能够完全绕过用户意识,使得及时打补丁和保持警惕至关重要。随着CISA将此漏洞添加到KEV目录,网络安全团队有了明确的指导来紧急应对此威胁。确保设备更新并采用严格的监控将是防御此危险漏洞利用的关键步骤。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次