米国連邦機関は、昨年から脅威アクターによってSamsungデバイスにスパイウェアを展開するために使用されてきたゼロデイ脆弱性の修正を指示されました。
アウトオブバウンズ書き込みの脆弱性CVE-2025-21042はCVSSスコア9.8で、4月にSamsungによって修正されました。しかし、先週発表されたPalo Alto Networksの分析によると、2024年半ばからスパイウェアキャンペーンで利用されていたとされています。
そのキャンペーン中、LandFallと呼ばれる商用グレードのスパイウェアが悪意のあるDNG画像ファイルに埋め込まれ、WhatsAppを通じて標的に送信されました。Palo Altoによれば、ゼロクリックエクスプロイトが使用され、ユーザーの操作なしにリモートコード実行が達成された可能性があります。
「この手法は、2025年8月に注目を集めたAppleとWhatsAppを巻き込むエクスプロイトチェーンと非常によく似ています」と付け加えています。
「また、9月に公開された類似のゼロデイ脆弱性(CVE-2025-21043)を利用したと考えられるエクスプロイトチェーンとも似ています。我々の調査では、WhatsAppにおける未知の脆弱性は特定されませんでした。」
商用スパイウェアの詳細はこちら:フランス、Appleユーザーに新たなスパイウェアキャンペーンを警告
Palo Altoの分析によると、LandFallは主に中東の被害者を標的として設計されており、「マイクの録音、位置情報の追跡、写真・連絡先・通話履歴の収集など、包括的な監視」を可能にします。
レポートは次のように付け加えています。「このキャンペーンは中東の商用スパイウェア作戦とインフラや手法のパターンを共有しており、民間部門の攻撃的アクター(PSOA)との関連が示唆されます。」
リスクにさらされているのは、Galaxy S22、S23、S24、Z Fold4、Z Flip4など、幅広いSamsungデバイスです。
CISA KEV、締切日を設定
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、昨日CVE-2025-21042を既知の悪用脆弱性(KEV)カタログに追加しました。
連邦機関は12月1日までに以下の対応を求められています:「ベンダーの指示に従って緩和策を適用し、クラウドサービスには該当するBOD 22-01ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止すること。」
民間企業も可能な範囲でKEVガイダンスに従い、セキュリティ態勢の向上が推奨されています。
画像クレジット:viewimage / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/cisa-zeroday-bugspyware-attacks-kev/
