CISA 就 Meta Platforms 的 WhatsApp 消息服务 ( CVE-2025-55177 )中新披露的零日漏洞发布了紧急公告。
该缺陷被归类为 CWE-863:授权不正确,它允许未经授权的行为者操纵链接设备同步消息并强制目标设备从攻击者控制的 URL 获取和处理内容。
关键要点 1. CVE-2025-55177 利用 WhatsApp 设备同步身份验证漏洞获取恶意 URL。2 . CWE-863 错误可导致远程代码执行 (RCE),并已在网络钓鱼中出现。3 . CISA 要求 WhatsApp 必须在 9 月 2 日打补丁,否则将暂停服务。
强烈建议组织和个人用户在 2025 年 9 月 23 日之前应用供应商提供的缓解措施,或者停止使用,直到安全补丁可用。
WhatsApp 授权漏洞 (CVE-2025-55177)
CVE-2025-55177 源于 WhatsApp 在处理链接设备同步消息时授权检查不完整。
当用户在新设备上链接他们的 WhatsApp 客户端时,同步消息会在多个端点传播聊天历史和媒体。
由于消息来源和完整性验证不当,无关用户可以编写指向任意 URL 的恶意同步负载。易受攻击的客户端将:
- 解析同步消息,无需验证发送者的授权令牌。
- 向攻击者控制的 URL 发起 GET 请求以检索额外的有效负载数据。
- 在 WhatsApp 客户端环境中执行或显示 JavaScript 驱动的网页等内容。
这一系列事件有效地实现了远程代码执行 (RCE) 或内容欺骗,可以利用这些攻击来投放从凭证窃取脚本到勒索软件等各种负载。
虽然尚未确认 CVE-2025-55177 是否已被整合到活跃的勒索软件活动中,但已经观察到其在有针对性的网络钓鱼操作中的利用。
| 风险因素 | 细节 |
| 受影响的产品 | WhatsApp 消息服务 |
| 影响 | 远程代码执行 |
| 漏洞利用前提条件 | 攻击者必须向目标发送精心设计的链接设备同步消息。 受害者的设备必须启用链接设备功能。 |
| CVSS 3.1 评分 | 5.4(中等) |
缓解措施
CISA 的建议指示所有使用 WhatsApp 的实体,特别是关键基础设施领域的实体,立即实施以下步骤:
应用 Meta Platforms 于 2025 年 9 月 2 日发布的补丁,如其安全公告中所述。
执行供应商的配置指南,确保仅允许来自经过身份验证的端点的链接设备同步消息。
遵循网络安全和基础设施安全局的具有约束力的操作指令 (BOD) 22-01 对云服务安全的要求,包括多因素身份验证和所有同步事件的可靠日志记录。
CISA建议在部署安全版本之前停止使用 WhatsApp。各组织还必须监控网络流量,以发现来自 WhatsApp 客户端的异常出站 HTTP 请求,这些请求可能表明存在漏洞利用企图。
作为预防措施,安全团队应验证补丁安装并验证修复版本是否正确拒绝未经授权的同步有效负载。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
