美國網絡安全和基礎設施安全局（CISA）近日將蘋果產品漏洞及TP-Link路由器漏洞納入其已知被利用漏洞（KEV）目錄。以下是相關漏洞詳情：

• CVE-2025-43200 蘋果多款產品未明確漏洞
• CVE-2023-33538（CVSS評分8.8）TP-Link多款路由器命令注入漏洞

蘋果iMessage漏洞遭間諜軟件利用

上周蘋果公司確認，其已修復的Messages應用漏洞CVE-2025-43200被Paragon公司的Graphite間諜軟件在野利用，專門針對記者群體實施攻擊。該科技巨頭于2025年2月10日通過發布iOS 18.3.1、iPadOS 18.3.1、iPadOS 17.7.5、macOS Sequoia 15.3.1、macOS Sonoma 14.7.4、macOS Ventura 13.7.4、watchOS 11.3.1和visionOS 2.3.1等系統版本修復此漏洞，同時解決的還包括WhatsApp漏洞CVE-2025-24200——該漏洞曾在"極其復雜"的定向攻擊中被利用。

蘋果在安全公告中說明："處理通過iCloud鏈接分享的惡意制作照片或視頻時存在邏輯缺陷。蘋果獲悉有報告稱該漏洞可能已在針對特定目標的極端復雜攻擊中被利用。"公司通過實施改進的檢查機制修復了該漏洞。

本周公民實驗室（Citizen Lab）證實，Paragon的Graphite間諜軟件被用于入侵完全更新后的iPhone設備，至少兩名歐洲記者成為攻擊目標。調查組發現的取證證據顯示，被入侵手機曾與同一間諜服務器通信。蘋果已于今年早些時候秘密通知受害者，這標志著Paragon工具在真實攻擊中的使用首次得到確認。

2025年4月29日，蘋果向部分iOS用戶發出間諜軟件攻擊警報。取證分析確認包括Ciro Pellegrino在內的兩名記者感染了Graphite間諜軟件，兩起事件均關聯至同一攻擊者。蘋果隨后修補了攻擊中使用的零點擊漏洞（現編號為CVE-2025-43200），修復包含在iOS 18.3.1版本中。

Paragon終止意大利政府合作

本周初，Paragon指控意大利政府拒絕其協助調查間諜軟件濫用記者事件的提議，并宣布因此終止在意大利的合同。該公司聲稱其提出了驗證工具是否被濫用的方案，但遭當局拒絕。這是間諜軟件公司首次因涉嫌濫用而公開終止客戶合作。Paragon確認聲明內容屬實但拒絕進一步置評。

TP-Link路由器命令注入漏洞

CISA目錄新增的第二個漏洞是TP-Link多款路由器（TL-WR940N、TL-WR841N、TL-WR740N）/userRpm/WlanNetworkRpm組件存在的命令注入漏洞。

根據《降低已知被利用漏洞重大風險的第22-01號行動指令》（BOD 22-01），聯邦民事行政部門（FCEB）機構必須在規定期限內修復目錄中的漏洞以防范相關攻擊。專家同時建議私營機構審查該目錄并修復自身基礎設施中的漏洞。CISA要求聯邦機構最遲于2025年7月7日完成漏洞修復。