L'Agenzia di Sicurezza Cibernetica è Infrastruttura di i Stati Uniti (CISA) hà emessu un ordine per l'agenzii federali per patch vulnerabilità di sicurezza chì sò state sfruttate cum'è parte di una catena di sfruttamentu iMessage di clic zero. Sti vulnerabili sò stati usati per infettà l'iPhone cù u spyware Pegasus sviluppatu da NSO Group. Questa azione seguita a divulgazione da Citizen Lab chì l'iPhone cumplettamente patchati chì appartenenu à una urganizazione di a sucità civile in Washington DC sò stati cumprumessi cù una catena di sfruttamentu chjamata BLASTPASS, chì utilizzava allegati PassKit chì cuntenenu immagini maliziusi.

Citizen Lab hà ancu avvistu à i clienti Apple di applicà immediatamente l'aghjurnamenti d'emergenza chì sò stati liberati ghjovi. Anu ancu urgeu à l'individui chì ponu esse suscettibili à attacchi mirati per via di a so identità o occupazione per attivà u Modu Lockdown.

E duie vulnerabilità, cunnisciute cum'è Image I/O è Wallet, sò state tracciate cum'è CVE-2023-41064 è CVE-2023-41061 rispettivamente. Apple hà ricunnisciutu u rapportu di sfruttamentu attivu è dapoi hà liberatu correzioni per queste vulnerabilità in l'ultime versioni di macOS Ventura, iOS, iPadOS è watchOS. Queste aghjurnamenti trattanu a gestione di a memoria è i prublemi di logica chì permettenu à l'attaccanti eseguisce codice arbitrariu nantu à i dispositi chì ùn sò micca stati patched.

CISA hà inclusu sti dui difetti di sicurezza in u so catalogu di Vulnerabilità Sfruttatu Cunnisciute, affirmannu chì sò spessu destinati da attori cibernetici maliziusi è ponenu risichi significativi per l'impresa federale. In u risultatu, l'Agenzie di l'Executive Executive Civile Federale di i Stati Uniti (FCEB) sò tenute à patch tutte e vulnerabili elencate in u catalogu in un intervallu di tempu specificatu, secondu una direttiva operativa vincolante (BOD 22-01) publicata in Novembre 2022. In vista di questa aghjurnazione , l'agenzii federali devenu assicurà i dispositi iOS, iPadOS è macOS vulnerabili nantu à e so rete contr'à CVE-2023-41064 è CVE-2023-41061 da u 2 d'ottobre di u 2023.

Ancu se a direttiva s'applica principalmente à l'agenzii federali di i Stati Uniti, CISA cunsiglia fermamente à e cumpagnie private di prioritizà u patching di queste vulnerabilità u più prestu pussibule. Apple hà trattatu attivamente e vulnerabilità zero-day in i so sistemi operativi quist'annu, cù un totale di 13 sfruttamenti riparati da ghjennaghju 2023.

Definizione:

- Zero-click exploit: Un tipu d'attaccu ciberneticu induve ùn hè micca necessariu interazzione di l'utilizatori per sfruttà a vulnerabilità.

- iMessage: Una piattaforma di messageria sviluppata da Apple per i so dispusitivi.

- Spyware: Software malicioso cuncepitu per raccoglie segretamente informazioni da un dispositivu o computer di destinazione.

Fonti:

– CISA

- Citizen Lab