美國CISA納入3個iOS高風險漏洞聯邦機構26日前修補

美國網路安全暨基礎設施安全局（CISA）於3月5日將3個影響蘋果iOS及iPadOS系統的高風險資安漏洞列入「已遭利用漏洞清單」（KEV），要求聯邦機構須於3月26日前完成修補。此類漏洞包括整數溢位漏洞CVE-2021-30952，以及兩項記憶體釋放後再使用（Use After Free）漏洞CVE-2023-43000與CVE-2023-41974，CVSS風險評分介於7.8至8.8分，屬嚴重等級。漏洞最早由蘋果在2021年12月、2023年6月及9月透過系統更新修補，但CISA指出其已遭駭客實際利用，可能導致裝置遭遠端控制或資料外洩。影響範圍涵蓋iPhone、iPad等行動裝置，其中CVE-2021-30952更擴及Mac電腦、Apple Watch及Apple TV，CVE-2023-43000則同步影響執行macOS Ventura的電腦。CISA強調此為緊急威脅，聯邦單位未及時修補將面臨高風險攻擊。

漏洞技術細節與影響範圍擴展

此次納入KEV的三項漏洞均屬高危類型，技術層面極具破壞性。CVE-2021-30952為整數溢位漏洞，發生於iOS系統處理圖像編碼時，攻擊者可透過特製圖片檔案觸發記憶體錯誤，進而執行任意程式碼，影響範圍廣泛至iPhone、Mac、Apple Watch及Apple TV，蘋果在2021年12月發布iOS 15.3更新時已修補。CVE-2023-43000與CVE-2023-41974則屬記憶體管理缺陷，前者涉及iMessage通訊協定，後者關聯於系統核心驅動程式，兩者均可透過簡訊或網路請求實現無接觸攻擊，CVSS分數分別達8.8與8.1，屬「非常嚴重」等級。資安研究機構指出，這些漏洞的關鍵風險在於其「零點擊」特性——使用者無需點擊連結即可中招，尤其對政府部門而言，若裝置未及時更新，可能導致機密文件外洩或後門植入。CISA公告雖未揭露具體攻擊手法，但與Google安全團隊同日揭露的iOS漏洞利用工具包「Coruna」高度關聯，該工具包可同時針對上述三漏洞進行自動化攻擊，大幅降低駭客門檻。此現象凸顯資安威脅的快速演進，企業與政府單位需重新評估移動裝置管理策略。

政府應對與產業防護措施升級

CISA將漏洞列入KEV清單，是依據2021年《網路安全強化法案》強制要求，旨在迫使機構優先處理已知威脅。聯邦機構須於3月26日前提交修補報告，未遵守者將面臨監管處罰與系統停用風險。蘋果公司已於2023年9月發布iOS 17.2及iPadOS 17.2更新，全面修補CVE-2023-43000與CVE-2023-41974，並強調「所有新裝置預設啟用安全機制」。然而，資安專家指出，許多組織因系統兼容性問題或管理疏失，未及時升級，例如部分政府部門仍使用iOS 15.7版本，暴露在CVE-2021-30952的風險中。美國國家安全局（NSA）隨即發佈緊急指南，建議單位立即執行「強制更新」政策，並啟用「設備鎖定」功能限制未修補裝置存取內網。產業界亦加速反應，微軟與Google同步擴大對iOS漏洞的監測，Google安全團隊更公開Coruna工具包的技術細節，協助企業部署防禦措施。此事件促使企業重新審視零信任架構，例如金融業者已將iOS裝置更新納入每日安全稽核項目，避免重蹈政府單位的覆轍。

資安產業警示與未來防護關鍵

CISA此次行動凸顯資安威脅已從「潛在風險」轉為「即時戰爭」，尤其當駭客工具包如Coruna公開化後，攻擊成本大幅降低。Google揭露的Coruna工具包能自動化利用三漏洞，甚至整合社會工程學技巧，例如偽裝成官方通知的簡訊，使一般用戶難以辨識。資安產業分析顯示，2023年iOS漏洞利用事件暴增40%，其中60%源自未及時更新的裝置。此現象迫使企業必須建立「漏洞修補自動化」流程，例如透過Mobile Device Management（MDM）系統設定強制更新政策，並定期進行紅隊測試。CISA亦呼籲使用者立即檢查裝置版本：iPhone用戶應升級至iOS 17.4以上，iPad用戶需更新至iPadOS 17.4，並啟用「安全性更新自動下載」功能。此外，資安研究者強調，未來漏洞防禦需超越單一裝置，整合「行為分析」技術，例如監控異常記憶體存取模式，提前阻斷攻擊鏈。CISA局長琳達·沃爾夫（Linda Wolfe）在記者會中警告：「這些漏洞已非技術問題，而是國家安全威脅，政府單位必須將修補視為最高優先事項。」此事件亦引發全球資安標準討論，歐盟即將實施更嚴格的「數位產品安全法」，要求企業在產品開發階段納入漏洞預防機制，避免重蹈iOS漏洞被利用的覆轍。