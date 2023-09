By

Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) vydala příkaz, aby federální úřady opravily zranitelnosti zabezpečení, které byly zneužity v rámci řetězce exploitů iMessage bez kliknutí. Tyto chyby zabezpečení byly použity k infikování iPhonů spywarem Pegasus vyvinutým společností NSO Group. Tato akce následuje po odhalení Citizen Lab, že plně opravené iPhony patřící organizaci občanské společnosti ve Washingtonu DC byly kompromitovány pomocí řetězce exploitů nazvaného BLASTPASS, který využíval přílohy PassKit obsahující škodlivé obrázky.

Citizen Lab také varovala zákazníky společnosti Apple, aby okamžitě použili nouzové aktualizace, které byly vydány ve čtvrtek. Dále vyzvali jednotlivce, kteří mohou být náchylní k cíleným útokům kvůli své identitě nebo povolání, aby povolili režim Lockdown.

Tyto dvě chyby zabezpečení, známé jako Image I/O a Wallet, byly sledovány jako CVE-2023-41064 a CVE-2023-41061. Apple potvrdil zprávu o aktivním zneužívání a od té doby vydal opravy těchto zranitelností v nejnovějších verzích macOS Ventura, iOS, iPadOS a watchOS. Tyto aktualizace řeší problémy se zpracováním paměti a logikou, které útočníkům umožňovaly spouštět libovolný kód na zařízeních, která nebyla opravena.

CISA zahrnula tyto dvě bezpečnostní chyby do svého katalogu Known Exploited Vulnerabilities s tím, že se na ně často zaměřují zákeřní kybernetičtí aktéři a představují značná rizika pro federální podnik. V důsledku toho jsou americké federální civilní výkonné agentury (FCEB) povinny opravit všechna zranitelná místa uvedená v katalogu ve stanoveném časovém rámci podle závazné provozní směrnice (BOD 22-01) zveřejněné v listopadu 2022. Ve světle této aktualizace , musí federální agentury zabezpečit zranitelná zařízení iOS, iPadOS a macOS ve svých sítích proti CVE-2023-41064 a CVE-2023-41061 do 2. října 2023.

Ačkoli se směrnice primárně vztahuje na federální agentury USA, CISA důrazně doporučuje soukromým společnostem, aby upřednostnily opravu těchto zranitelností co nejdříve. Apple letos aktivně řeší zranitelnosti zero-day ve svých operačních systémech, přičemž od ledna 13 bylo opraveno celkem 2023 exploitů.

Definice:

– Zero-click exploit: Typ kybernetického útoku, kde není nutná žádná interakce uživatele, aby byla zranitelnost zneužita.

– iMessage: Platforma pro zasílání zpráv vyvinutá společností Apple pro svá zařízení.

– Spyware: Škodlivý software určený k tajnému shromažďování informací z cílového zařízení nebo počítače.

Zdroje:

– CISA

– Občanská laboratoř