概要

米国のサイバーセキュリティとインフラストラクチャセキュリティ庁（CISA）は、金曜日にApple、Craft CMS、およびLaravel Livewireの5つのセキュリティ脆弱性を「Known Exploited Vulnerabilities (KEV)」カタログに追加し、連邦機関に対して4月3日までにパッチを適用するよう要請しました。

脆弱性詳細

CISAがリストアップした脆弱性は以下の通りです：

• CVE-2025-31277 (CVSSスコア: 8.8): Apple WebKitの脆弱性で、悪意のあるウェブコンテンツを処理する際にメモリ破壊が発生します。
• CVE-2025-43510 (CVSSスコア: 7.8): Appleのカーネルコンポーネントにおけるメモリ破壊脆弱性で、悪意のあるアプリケーションがプロセス間で共有されるメモリを不適切に変更する可能性があります。
• CVE-2025-43520 (CVSSスコア: 8.8): Appleのカーネルコンポーネントにおけるメモリ破壊脆弱性で、悪意のあるアプリケーションがシステムを予期せず終了させたり、カーネルメモリに書き込む可能性があります。
• CVE-2025-32432 (CVSSスコア: 10.0): Craft CMSのコードインジェクション脆弱性で、リモート攻撃者が任意のコードを実行する可能性があります。
• CVE-2025-54068 (CVSSスコア: 9.8): Laravel Livewireのコードインジェクション脆弱性で、未認証の攻撃者が特定のシナリオでリモートコマンド実行を達成する可能性があります。

脅威グループの活動

CVE-2025-32432は、未知の脅威アクターによって2025年2月からゼロデイとして悪用されており、Orange Cyberdefense SensePostが報告しています。その後、Mimo（別名Hezb）と呼ばれる侵入セットもこの脆弱性を悪用してコインマイナーと住宅プロキシウェアを展開しました。

CVE-2025-54068の悪用は、Ctrl-Alt-Intel Threat Researchチームによって最近報告され、イラン政府が支援するハッキンググループMuddyWater（別名Boggy Serpens）による攻撃の一環として確認されました。

Unit 42のレポート

Palo Alto Networks Unit 42は先週、この脅威アクターが中東および世界中の戦略的ターゲットを標的にしていると報告しました。Boggy Serpensは、社会工学的手法と迅速に開発されたツールの組み合わせにより、強力な脅威プロファイルを作り出しています。

結論

CISAがこれらの脆弱性をKEVカタログに追加したことで、連邦機関は4月3日までにパッチを適用するよう強く求められています。また、脅威アクターの活動は継続的に進化しており、セキュリティ上の注意が必要です。

元記事: https://thehackernews.com/2026/03/cisa-flags-apple-craft-cms-laravel-bugs.html