Η CISA προειδοποιεί τις κυβερνητικές υπηρεσίες να προστατεύουν τα iPhone από επιθέσεις spyware
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των
ΗΠΑ
(CISA) διέταξε σήμερα τις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν τα τρωτά σημεία ασφαλείας που καταχράστηκαν ως μέρος μιας αλυσίδας εκμετάλλευσης iMessage με μηδενικό κλικ για τη μόλυνση των iPhone με το λογισμικό κατασκοπείας
Pegasus
του Ομίλου NSO.
Αυτή η προειδοποίηση έρχεται αφότου το Citizen Lab αποκάλυψε ότι τα δύο ελαττώματα χρησιμοποιήθηκαν για να παραβιάσουν πλήρως επιδιορθωμένα iPhone που ανήκουν σε μια οργάνωση της κοινωνίας των πολιτών με έδρα την Ουάσιγκτον, χρησιμοποιώντας μια αλυσίδα εκμετάλλευσης που ονομάζεται BLASTPASS που λειτουργούσε μέσω συνημμένων PassKit που περιείχαν κακόβουλες εικόνες.
Το Citizen Lab προειδοποίησε επίσης τους πελάτες της Apple να εφαρμόσουν άμεσα ενημερώσεις έκτακτης ανάγκης που εκδόθηκαν την Πέμπτη και προέτρεψε τα άτομα που είναι επιρρεπή σε στοχευμένες επιθέσεις λόγω της ταυτότητας ή του επαγγέλματός τους να ενεργοποιήσουν τη λειτουργία κλειδώματος.
«Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει ενεργή εκμετάλλευση», είπε η εταιρεία όταν περιέγραψε τις δύο ευπάθειες Image I/O και
Wallet
, που παρακολουθούνται ως CVE-2023-41064 και CVE-2023-41061.
Η λίστα των συσκευών που επηρεάζονται είναι αρκετά εκτενής, καθώς τα σφάλματα επηρεάζουν τόσο παλαιότερα όσο και νεότερα μοντέλα και περιλαμβάνει:
- iPhone 8 και μεταγενέστερα
- iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και μεταγενέστερα, iPad 5ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και μεταγενέστερα
- Mac που τρέχουν macOS Ventura
- Apple Watch Series 4 και νεότερη έκδοση
Η Apple διόρθωσε τις δύο ημέρες μηδέν στο macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 και watchOS 9.6.2 με χειρισμό μνήμης και βελτιωμένη λογική. Και οι δύο επιτρέπουν στους εισβολείς να αποκτήσουν αυθαίρετη εκτέλεση κώδικα σε μη επιδιορθωμένες συσκευές.
Προθεσμία
ενημέρωση
ς 2 Οκτωβρίου
Τη Δευτέρα, η CISA πρόσθεσε τα δύο ελαττώματα ασφαλείας
Γνωστά εκμεταλλευόμενα τρωτά σημεία
κατάλογο, χαρακτηρίζοντάς τους ως “διανύσματα συχνών επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου” και θέτοντας “σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση”.
Οι Ομοσπονδιακές Πολιτικές Εκτελεστικές Υπηρεσίες των ΗΠΑ (FCEB) πρέπει να επιδιορθώσουν όλα τα τρωτά σημεία που προστέθηκαν στον κατάλογο KEV της CISA εντός περιορισμένου χρονικού πλαισίου, σύμφωνα με μια δεσμευτική επιχειρησιακή οδηγία (BOD 22-01) που δημοσιεύτηκε τον Νοέμβριο του
2022
.
Μετά τη σημερινή ενημέρωση, οι ομοσπονδιακές υπηρεσίες πρέπει να ασφαλίσουν όλες τις ευάλωτες συσκευές iOS, iPadOS και macOS στα δίκτυά τους έναντι των CVE-2023-41064 και CVE-2023-41061 έως τις 2 Οκτωβρίου 2023.
Ενώ το BOD 22-01 εστιάζει κυρίως σε ομοσπονδιακούς οργανισμούς των ΗΠΑ, η CISA συμβούλεψε επίσης έντονα τις ιδιωτικές εταιρείες να δώσουν προτεραιότητα στην επιδιόρθωση των δύο ευπαθειών το συντομότερο δυνατό.
Από τον Ιανουάριο του 2023, η Apple καθόρισε συνολικά 13 zero-days που αξιοποιήθηκαν για τη στόχευση συσκευών iOS, macOS, iPadOS και watchOS, συμπεριλαμβανομένων: