美国网络安全和基础设施安全局（CISA）已下令各联邦机构修复三个关键iOS漏洞，这些漏洞在长达10个月的时间里被三个不同的黑客组织在攻击行动中持续利用。

上述黑客攻击行动于周四经由谷歌发布的一份报告而公之于众。三起攻击行动均使用了一个名为"Coruna"的高级黑客工具包，该工具包将23个独立的iOS漏洞利用程序整合为五条强力利用链。其中部分漏洞此前曾作为零日漏洞被用于其他不相关的攻击活动，但在谷歌观察到Coruna对其加以利用时，这些漏洞均已完成修补。尽管如此，由于该工具包的漏洞利用代码质量极高、功能覆盖范围广泛，在针对旧版iOS系统时仍构成严峻威胁。

"这套漏洞利用工具包的核心技术价值在于其对iOS漏洞的全面收集，"谷歌研究人员写道，"这些漏洞利用程序具备详尽的文档说明，包括由英语母语者撰写的文档字符串和注释。其中最为高级的部分采用了非公开的漏洞利用技术和安全防护绕过手段。"

周五，CISA将其中三个漏洞纳入其已知被利用漏洞目录，并要求所有受CISA管辖的联邦机构对相关漏洞进行修复，同时建议所有组织采取同样措施。上述漏洞利用程序可作用于iOS 13至17.2.1版本，17.2.1以上版本不受影响。此外，当苹果锁定模式（Lockdown）开启或浏览器设置为隐私浏览模式时，该漏洞利用程序也将失效。

Coruna的高级功能包括一个前所未见的Java框架，该框架采用独特的混淆方法以规避检测和逆向工程分析。框架激活后，会运行一个指纹识别模块来收集设备信息，并据此加载适配的WebKit漏洞利用程序，随后绕过一种名为"指针认证码"（PAC）的防护机制。

Coruna还因被三个不同黑客组织使用而备受关注。谷歌最初于去年2月发现其被一个"监控供应商的客户"在行动中使用，所利用的漏洞（编号CVE-2025-23222）早在13个月前就已修复。2025年7月，一个"疑似俄罗斯间谍组织"通过CVE-2023-43000漏洞，在乌克兰用户频繁访问的网站上发动了攻击。去年12月，当该工具包被"一个来自中国、以经济利益为驱动的威胁行为者"使用时，谷歌得以获取完整的漏洞利用工具包。

"这种扩散是如何发生的目前尚不清楚，但这表明存在一个活跃的'二手'零日漏洞交易市场，"谷歌写道，"除已识别的漏洞外，多个威胁行为者现已掌握了可重复使用、并可结合新发现漏洞加以改造的高级漏洞利用技术。"

谷歌研究人员进一步写道：

我们获取了所有经过混淆处理的漏洞利用程序，包括最终有效载荷。经深入分析，我们发现有一个案例中，攻击者部署了该工具包的调试版本，导致所有漏洞利用程序连同其内部代号一同暴露。正是由此，我们得知该漏洞利用工具包在内部很可能被命名为"Coruna"。我们共收集了数百个样本，涵盖五条完整的iOS漏洞利用链。该工具包能够针对运行iOS 13.0（2019年9月发布）至17.2.1版本（2023年12月发布）的各型iPhone。

CISA此次纳入目录的三个漏洞编号分别为：

CVE-2021-30952：苹果多款产品整数溢出漏洞

CVE-2023-41974：苹果iOS及iPadOS释放后使用漏洞

CVE-2023-43000：苹果多款产品释放后使用漏洞

CISA要求各机构"按照供应商指导意见应用缓解措施，遵循适用的云服务相关指引，或在无法采取缓解措施时停止使用相关产品"，并警告称："此类漏洞是恶意网络攻击者的常用攻击入口，对联邦信息系统构成重大风险。"

Q&A

Q1：Coruna漏洞利用工具包是什么？有什么危害？

A：Coruna是一个高级iOS漏洞利用工具包，整合了23个独立漏洞利用程序，形成五条完整的攻击链。它可针对运行iOS 13至17.2.1版本的iPhone，能收集设备信息、绕过安全防护机制，已被多个不同背景的黑客组织用于实际攻击。由于其代码质量高、功能全面，即便针对已修补漏洞的旧版系统，仍具有相当强的威胁能力。

Q2：哪些iOS版本受到Coruna漏洞利用工具包的影响？

A：Coruna可对运行iOS 13.0至17.2.1版本的iPhone发动攻击。升级至17.2.1以上版本可规避风险。此外，开启苹果锁定模式（Lockdown）或将浏览器设置为隐私浏览模式，也可阻止该工具包的漏洞利用程序执行。

Q3：CISA要求修复哪三个iOS漏洞？

A：CISA此次要求联邦机构修复的三个漏洞分别是：CVE-2021-30952（苹果多款产品整数溢出漏洞）、CVE-2023-41974（苹果iOS及iPadOS释放后使用漏洞）以及CVE-2023-43000（苹果多款产品释放后使用漏洞）。CISA要求相关机构按供应商指导进行修复，并建议所有组织采取同样措施。