Ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) διέταξε σήμερα τις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν ευπάθειες ασφαλείας που χρησιμοποιήθηκαν καταχρηστικά ως μέρος μιας αλυσίδας εκμετάλλευσης iMessage με zero-click για τη μόλυνση iPhones με το spyware Pegasus της NSO Group.
Δείτε επίσης: Αρμενία: Δημοσιογράφοι και ακτιβιστές στο στόχαστρο του Pegasus spyware
Η προειδοποίηση αυτή έρχεται μετά την αποκάλυψη της Citizen Lab ότι οι δύο αδυναμίες χρησιμοποιήθηκαν για να θέσουν σε κίνδυνο πλήρως ενημερωμένα iPhones που ανήκαν σε μια οργάνωση της κοινωνίας των πολιτών με έδρα την Ουάσινγκτον, χρησιμοποιώντας μια αλυσίδα εκμετάλλευσης με την ονομασία BLASTPASS που λειτουργούσε μέσω συνημμένων PassKit που περιείχαν κακόβουλες εικόνες.
Το Citizen Lab προειδοποίησε επίσης τους πελάτες της Apple να εφαρμόσουν άμεσα τις επείγουσες ενημερώσεις που εκδόθηκαν την Πέμπτη και προέτρεψε τα άτομα που είναι επιρρεπή σε στοχευμένες επιθέσεις λόγω της ταυτότητας ή του επαγγέλματός τους να ενεργοποιήσουν τη λειτουργία Lockdown Mode.
“Η Apple έχει λάβει γνώση μιας αναφοράς ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο ενεργής εκμετάλλευσης”, ανέφερε η εταιρεία περιγράφοντας τις δύο ευπάθειες Image I/O και Wallet, οι οποίες εντοπίζονται ως CVE-2023-41064 και CVE-2023-41061.
Ο κατάλογος των επηρεαζόμενων συσκευών είναι αρκετά εκτενής, καθώς τα σφάλματα επηρεάζουν τόσο παλαιότερα όσο και νεότερα μοντέλα, και περιλαμβάνει:
- iPhone 8 και νεότερες εκδόσεις
- iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα, iPad 5ης γενιάς και νεότερα και iPad mini 5ης γενιάς και νεότερα
- Mac που εκτελούν macOS Ventura
- Apple Watch Series 4 και μεταγενέστερα
Η Apple διόρθωσε τα δύο zero-day στο macOS Ventura 13.5.2, στο iOS 16.6.1, στο iPadOS 16.6.1 και στο watchOS 9.6.2 με χειρισμό μνήμης και βελτιωμένη λογική. Και τα δύο επιτρέπουν στους επιτιθέμενους να αποκτήσουν αυθαίρετη εκτέλεση κώδικα σε μη ενημερωμένες συσκευές.
Πρόταση: Pedro Sánchez: Το Pegasus spyware εντοπίστηκε στο τηλέφωνο του πρωθυπουργού της Ισπανίας
Στις 2 Οκτωβρίου λήγει η προθεσμία για το patch
Τη Δευτέρα, η CISA πρόσθεσε τα δύο ελαττώματα ασφαλείας στον κατάλογό της “Γνωστές Εκμεταλλευόμενες Ευπάθειες”, χαρακτηρίζοντάς τα ως “συχνούς φορείς επίθεσης για κακόβουλους φορείς του κυβερνοχώρου” και θέτοντας “σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση”.
Οι ομοσπονδιακοί πολιτικοί εκτελεστικοί οργανισμοί των ΗΠΑ (FCEB) πρέπει να επιδιορθώσουν όλες τις ευπάθειες που προστίθενται στον κατάλογο KEV της CISA εντός περιορισμένου χρονικού πλαισίου, σύμφωνα με δεσμευτική επιχειρησιακή οδηγία (BOD 22-01) που δημοσιεύθηκε τον Νοέμβριο του 2022.
Μετά τη σημερινή ενημέρωση, οι ομοσπονδιακές υπηρεσίες πρέπει να ασφαλίσουν όλες τις ευάλωτες συσκευές iOS, iPadOS και macOS στα δίκτυά τους έναντι των CVE-2023-41064 και CVE-2023-41061 έως τις 2 Οκτωβρίου 2023.
Ενώ το BOD 22-01 επικεντρώνεται κυρίως στις ομοσπονδιακές υπηρεσίες των ΗΠΑ, η CISA συνέστησε επίσης έντονα στις ιδιωτικές εταιρείες να δώσουν προτεραιότητα στην επιδιόρθωση των δύο ευπαθειών το συντομότερο δυνατό.
Από τον Ιανουάριο του 2023, η Apple διόρθωσε συνολικά 13 zero-days που εκμεταλλεύτηκαν για να στοχεύσουν συσκευές iOS, macOS, iPadOS και watchOS, μεταξύ των οποίων:
- δύο zero-days (CVE-2023-37450 και CVE-2023-38606) τον Ιούλιο
- τρία zero-days (CVE-2023-32434, CVE-2023-32435 και CVE-2023-32439) τον Ιούνιο
- τρία ακόμη zero-days (CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373) τον Μάιο
- δύο zero-days (CVE-2023-28206 και CVE-2023-28205) τον Απρίλιο
- και ένα zero-day του WebKit (CVE-2023-23529) τον Φεβρουάριο
Διαβάστε επίσης: NSO Group: Ο δημιουργός του Pegasus αλλάζει CEO και σχεδιάζει απολύσεις
πηγή πληροφοριών:bleepingcomputer.com
