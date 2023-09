L'Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) dels Estats Units ha emès una ordre perquè les agències federals peguen les vulnerabilitats de seguretat que es van explotar com a part d'una cadena d'explotació iMessage de clic zero. Aquestes vulnerabilitats es van utilitzar per infectar iPhones amb el programari espia Pegasus desenvolupat per NSO Group. Aquesta acció segueix la divulgació per part de Citizen Lab que els iPhones totalment pegats que pertanyien a una organització de la societat civil de Washington DC van ser compromesos mitjançant una cadena d'explotació anomenada BLASTPASS, que utilitzava fitxers adjunts PassKit que contenien imatges malicioses.

Citizen Lab també ha advertit als clients d'Apple que apliquen immediatament les actualitzacions d'emergència que es van publicar dijous. A més, han instat les persones que poden ser susceptibles a atacs dirigits a causa de la seva identitat o ocupació a habilitar el mode de bloqueig.

Les dues vulnerabilitats, conegudes com a Image I/O i Wallet, s'han rastrejat com a CVE-2023-41064 i CVE-2023-41061 respectivament. Apple va reconèixer l'informe d'explotació activa i des de llavors ha publicat correccions per a aquestes vulnerabilitats a les últimes versions de macOS Ventura, iOS, iPadOS i watchOS. Aquestes actualitzacions aborden els problemes de gestió i lògica de la memòria que van permetre als atacants executar codi arbitrari en dispositius que no havien estat pegats.

CISA ha inclòs aquests dos defectes de seguretat al seu catàleg de vulnerabilitats explotades conegudes, afirmant que sovint són objectiu d'actors cibernètics maliciosos i que representen riscos significatius per a l'empresa federal. Com a resultat, les agències de la branca executiva civil federal dels EUA (FCEB) estan obligades a corregir totes les vulnerabilitats enumerades al catàleg en un període de temps especificat, segons una directiva operativa vinculant (BOD 22-01) publicada el novembre de 2022. A la llum d'aquesta actualització , les agències federals han de protegir els dispositius iOS, iPadOS i macOS vulnerables a les seves xarxes contra CVE-2023-41064 i CVE-2023-41061 abans del 2 d'octubre de 2023.

Tot i que la directiva s'aplica principalment a les agències federals dels Estats Units, CISA aconsella fermament a les empreses privades que prioritzin la correcció d'aquestes vulnerabilitats tan aviat com sigui possible. Apple ha estat abordant activament les vulnerabilitats de dia zero als seus sistemes operatius aquest any, amb un total de 13 exploits arreglats des del gener de 2023.

Definicions:

– Explotació de clic zero: un tipus d'atac cibernètic on no es requereix cap interacció de l'usuari perquè s'exploti la vulnerabilitat.

– iMessage: una plataforma de missatgeria desenvolupada per Apple per als seus dispositius.

– Programari espia: programari maliciós dissenyat per recopilar informació en secret d'un dispositiu o ordinador objectiu.

Fonts:

– CISA

- Laboratori Ciutadà