Η CISA δίνει εντολή στις κυβερνητικές υπηρεσίες να επιδιορθώσουν τα σφάλματα iPhone που εκμεταλλεύονται σε επιθέσεις
Related Posts
Σήμερα, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) διέταξε τις ομοσπονδιακές υπηρεσίες να αντιμετωπίσουν τρία πρόσφατα διορθωμένα ελαττώματα μηδενικής ημέρας που επηρεάζουν τα iPhone, τα Mac και τα iPad που είναι γνωστό ότι τυγχάνουν εκμετάλλευσης σε επιθέσεις.
Τα σφάλματα ασφαλείας παρακολουθούνται ως CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373, όλα βρίσκονται στη μηχανή προγράμματος περιήγησης WebKit.
Επιτρέπουν στους εισβολείς να ξεφύγουν από το sandbox του προγράμματος περιήγησης, να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες της παραβιασμένης συσκευής και να επιτύχουν αυθαίρετη εκτέλεση κώδικα μετά από επιτυχή εκμετάλλευση.
«Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει αξιοποιηθεί ενεργά», είπε η εταιρεία όταν περιέγραψε τα ελαττώματα.
Οι τρεις ημέρες μηδέν αντιμετωπίστηκαν στο macOS Ventura 13.4, iOS και iPadOS 16.5, tvOS 16.5, watchOS 9.5 και Safari 16.5 με βελτιωμένους ελέγχους ορίων, επικύρωση εισόδου και διαχείριση μνήμης.
Η πλήρης λίστα των συσκευών που επηρεάζονται είναι αρκετά εκτενής και περιλαμβάνει τα ακόλουθα:
- iPhone 6s (όλα τα μοντέλα), iPhone 7 (όλα τα μοντέλα), iPhone SE (1ης γενιάς), iPad Air 2, iPad mini (4ης γενιάς), iPod touch (7η γενιά) και iPhone 8 και μεταγενέστερα
- iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και μεταγενέστερα, iPad 5ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και μεταγενέστερα
- Mac που τρέχουν macOS Big Sur, Monterey και Ventura
- Apple Watch Series 4 και νεότερη έκδοση
- Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Πιθανή εκμετάλλευση σε επιθέσεις spyware που υποστηρίζονται από το κράτος
Αν και η Apple δεν έδωσε συγκεκριμένες λεπτομέρειες σχετικά με τις επιθέσεις στις οποίες έχουν γίνει κατάχρηση των σφαλμάτων, αποκάλυψε ότι το CVE-2023-32409 αναφέρθηκε από τον Clément Lecigne από την Ομάδα Ανάλυσης Απειλές της Google και τον Donncha Ó Cearbhaill από το Εργαστήριο Ασφαλείας της Διεθνούς Αμνηστίας.
Οι δύο ερευνητές και οι αντίστοιχες οργανώσεις τους αποκαλύπτουν συχνά πληροφορίες σχετικά με κρατικές εκστρατείες που εκμεταλλεύονται τις ευπάθειες zero-day για να εγκαταστήσουν λογισμικό κατασκοπείας παρακολούθησης στις συσκευές πολιτικών, δημοσιογράφων, αντιφρονούντων και άλλων ατόμων σε επιθέσεις υψηλής στόχευσης.
Για παράδειγμα, αποκάλυψαν τον Μάρτιο λεπτομέρειες για δύο πρόσφατες καμπάνιες που χρησιμοποιούν σύνθετες αλυσίδες εκμετάλλευσης ελαττωμάτων Android, iOS και Chrome για την εγκατάσταση μισθοφόρου spyware, ένα από αυτά ήταν ένα ελάττωμα παράκαμψης της Samsung ASLR για το οποίο προειδοποίησε η CISA την Παρασκευή.
Προθεσμία ενημέρωσης κώδικα 12 Ιουνίου
Σύμφωνα με τη δεσμευτική επιχειρησιακή οδηγία (BOD 22-01) που εκδόθηκε τον Νοέμβριο του 2022, οι Ομοσπονδιακές Πολιτικές Εκτελεστικές Υπηρεσίες (FCEB) πρέπει να εφαρμόζουν ενημερώσεις κώδικα στα συστήματά τους για όλα τα σφάλματα ασφαλείας που αναφέρονται στην CISA
Γνωστά εκμεταλλευόμενα τρωτά σημεία
κατάλογος.
Με τη σημερινή ενημέρωση, οι εταιρείες FCEB υποχρεούνται να ασφαλίσουν τις συσκευές τους iOS, iPadOS και macOS έως τις 12 Ιουνίου 2023.
Αν και στοχεύει κυρίως σε ομοσπονδιακούς οργανισμούς των ΗΠΑ, συνιστάται ανεπιφύλακτα οι ιδιωτικές εταιρείες να δίνουν επίσης υψηλή προτεραιότητα στην επιδιόρθωση των τρωτών σημείων που περιέχονται στη λίστα σφαλμάτων KEV που εκμεταλλεύονται σε επιθέσεις.
“Αυτοί οι τύποι τρωτών σημείων είναι συχνοί φορείς επιθέσεων για κακόβουλους κυβερνοχώρους και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση.”
είπε η CISA
την Δευτέρα.
Τον Απρίλιο, οι ομοσπονδιακές υπηρεσίες προειδοποιήθηκαν επίσης να προστατεύουν τα iPhone και Mac στα δίκτυά τους έναντι ενός άλλου ζεύγους ελαττωμάτων ασφαλείας iOS και macOS που αναφέρθηκαν από τους ερευνητές ασφαλείας της Google TAG και της Διεθνούς Αμνηστίας.
