【安全圈】谷歌修补Pixel漏洞，CISA发现可能被商业间谍软件供应商利用

美国网络安全机构CISA周二将影响Pixel手机和Sunhillo软件的漏洞添加到其已知利用漏洞（KEV）目录中。

被利用的 Pixel 漏洞被跟踪为 CVE-2023-21237。谷歌在 2023 年 6 月修补该漏洞时警告说，它已经意识到“有限的、有针对性的漏洞利用”，但该公司在一般的 Android 安全公告和 CVE-2023-21237 未被注意到一周后发布了 Pixel 手机的安全公告。

CVE-2023-21237 会影响 Framework 组件，并且与由于 UI 误导或不足而隐藏前台服务通知有关。攻击者可利用它获取敏感信息，而无需额外的执行权限或用户交互。

似乎没有任何关于利用该漏洞的公开信息。但是，它可能是商业间谍软件供应商用来破解 Pixel Android 手机的漏洞利用链的一部分。

CISA 周二添加到其 KEV 列表中的第二个漏洞是 CVE-2021-36380，它影响了 Sunhillo SureLine。Sunhillo为航空业提供监控数据分发和转换产品，而SureLine被描述为该公司监控网关产品的骨干。

CVE-2021-36380 于 2021 年夏季被披露并修补。NCC Group 的研究人员发现了该漏洞，并将该漏洞描述为严重的未经身份验证的操作系统命令注入问题，可能允许攻击者完全控制目标系统。

2023 年 11 月，SonicWall 报告称有人试图利用其蜜罐中的 SureLine 产品漏洞。这家网络安全公司确定，这些攻击尝试可能与Mirai僵尸网络有关，该僵尸网络诱捕了各种物联网设备，并滥用它们进行DDoS攻击。

CISA 已将 Pixel 和 SureLine 漏洞添加到其 KEV 目录中，并指示联邦机构在 3 月 26 日之前解决这些问题。虽然具有约束力的操作指令要求政府组织解决添加到 KEV 列表中的缺陷，但敦促所有组织使用该资源确定漏洞优先级。