Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) ζήτησε από τις ομοσπονδιακές υπηρεσίες να φροντίσουν να προστατεύσουν τα συστήματά τους από τρεις zero-day ευπάθειες που διορθώθηκαν πρόσφατα και επηρεάζουν iPhone, Mac και iPad. Αυτές οι ευπάθειες έχουν ήδη χρησιμοποιηθεί σε επιθέσεις.
Οι zero-day ευπάθειες παρακολουθούνται ως CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373 και εντοπίζονται στο WebKit browser engine. Επιτρέπουν στους εισβολείς να ξεφύγουν από το browser sandbox, να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες και να επιτύχουν εκτέλεση κακόβουλου κώδικα.
Δείτε επίσης: Η Cisco αποκαλύπτει XSS zero-day ευπάθεια στο εργαλείο server management
Η Apple ανέφερε ότι έχει ενημερωθεί για την πραγματοποίηση επιθέσεων που χρησιμοποιούν αυτές τις ευπάθειες.
Η εταιρεία κυκλοφόρησε ενημερώσεις κώδικα για την αντιμετώπιση των zero-day ευπαθειών. Οι ευπάθειες διορθώνονται στις εκδόσεις macOS Ventura 13.4, iOS και iPadOS 16.5, tvOS 16.5, watchOS 9.5 και Safari 16.5 και η CISA ζητά την άμεση εφαρμογή τους.
Η πλήρης λίστα των συσκευών που επηρεάζονται είναι η εξής:
- iPhone 6s (όλα τα μοντέλα)
- iPhone 7 (όλα τα μοντέλα)
- iPhone SE (1ης γενιάς)
- iPad Air 2
- iPad mini (4ης γενιάς)
- iPod touch (7η γενιά)
- iPhone 8 και μεταγενέστερα μοντέλα
- iPad Pro (όλα τα μοντέλα)
- iPad Air 3ης γενιάς και μεταγενέστερα
- iPad 5ης γενιάς και μεταγενέστερα μοντέλα
- iPad mini 5ης γενιάς και μεταγενέστερα
- Mac που τρέχουν macOS Big Sur, Monterey και Ventura
- Apple Watch Series 4 και νεότερη έκδοση
- Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Δείτε επίσης: Η VMware διορθώνει κρίσιμο zero-day exploit chain
Χρήση ευπαθειών για επιθέσεις spyware
Η Apple δεν έδωσε συγκεκριμένες λεπτομέρειες σχετικά με τις επιθέσεις, για να βεβαιωθεί ότι περισσότεροι χρήστες και επιχειρήσεις θα εφαρμόσουν τις ενημερώσεις και θα προστατεύσουν τις συσκευές τους. Ωστόσο, αποκάλυψε ότι η ευπάθεια CVE-2023-32409 αναφέρθηκε από τον Clément Lecigne από την Ομάδα Ανάλυσης Απειλών της Google και τον Donncha Ó Cearbhaill από το Εργαστήριο Ασφαλείας της Διεθνούς Αμνηστίας.
Οι δύο ερευνητές και οι οργανισμοί τους αποκαλύπτουν συχνά πληροφορίες σχετικά με κρατικές εκστρατείες που εκμεταλλεύονται zero-day ευπάθειες για να εγκαταστήσουν λογισμικό spyware σε συσκευές πολιτικών, δημοσιογράφων, αντιφρονούντων και άλλων ατόμων.
Για παράδειγμα, το Μάρτιο αποκαλύφθηκαν στοιχεία για δύο καμπάνιες που χρησιμοποιούσαν σύνθετες αλυσίδες εκμετάλλευσης ελαττωμάτων Android, iOS και Chrome για την εγκατάσταση spyware.
Ενημερώστε iPhone, iPad και Mac έως τις 12 Ιουνίου
Σύμφωνα με το binding operational directive (BOD 22-01) που εκδόθηκε τον Νοέμβριο του 2022, τα Federal Civilian Executive Branch Agencies (FCEB) πρέπει να εφαρμόζουν ενημερώσεις κώδικα στα συστήματά τους για όλα τα σφάλματα ασφαλείας που εισάγονται στον κατάλογο ευπαθειών της CISA.
Οι οργανισμοί FCEB υποχρεούνται να εφαρμόσουν τις ενημερώσεις και να προστατεύσουν τις συσκευές τους iOS, iPadOS και macOS έως τις 12 Ιουνίου 2023.
Δείτε επίσης: Fortra: Δημοσιοποίησε επιθέσεις zero-day στο GoAnywhere MFT
Η ενημέρωση της CISA αναφέρεται κυρίως σε ομοσπονδιακούς οργανισμούς των ΗΠΑ. Ωστόσο, προτείνεται και σε ιδιωτικές εταιρείες να δώσουν προτεραιότητα στη διόρθωση αυτών των ευπαθειών.
Τον περασμένο μήνα, οι ομοσπονδιακές υπηρεσίες ενημερώθηκαν και για τη διόρθωση δύο άλλων ευπαθειών που επηρέαζαν iPhone και Mac. Οι zero-day ευπάθειες αποτελούν σημαντική απειλή για κάθε οργανισμό. Είναι απαραίτητο να λάβετε προληπτικά μέτρα για την ασφάλεια του δικτύου και των συσκευών σας για να παραμείνετε ασφαλείς από αυτές τις απειλές.
Πηγή: www.bleepingcomputer.com