Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) on antanut liittovaltion viranomaisille määräyksen korjata tietoturva-aukkoja, joita hyödynnettiin osana nollanapsautusten iMessagen hyväksikäyttöketjua. Näitä haavoittuvuuksia käytettiin saastuttamaan iPhonet NSO Groupin kehittämällä Pegasus-vakoiluohjelmalla. Tämä toimenpide on seurausta Citizen Labin paljastuksesta, jonka mukaan Washington DC:n kansalaisyhteiskunnan organisaatiolle kuuluneet täysin korjatut iPhonet vaarantuivat käyttämällä hyväksikäyttöketjua nimeltä BLASTPASS, joka käytti haitallisia kuvia sisältäviä PassKit-liitteitä.

Citizen Lab on myös varoittanut Applen asiakkaita ottamaan välittömästi käyttöön torstaina julkaistut hätäpäivitykset. He ovat lisäksi kehottaneet henkilöitä, jotka saattavat olla henkilöllisyytensä tai ammattinsa vuoksi alttiita kohdistetuille hyökkäyksille, ottamaan käyttöön lukitustilan.

Näitä kahta haavoittuvuutta, jotka tunnetaan nimellä Image I/O ja Wallet, on jäljitetty nimillä CVE-2023-41064 ja CVE-2023-41061. Apple myönsi raportin aktiivisesta hyväksikäytöstä ja on sittemmin julkaissut korjauksia näihin haavoittuvuuksiin macOS Ventura, iOS, iPadOS ja watchOS uusimmissa versioissa. Nämä päivitykset korjaavat muistin käsittelyyn ja logiikkaan liittyvät ongelmat, jotka antoivat hyökkääjille mahdollisuuden suorittaa mielivaltaista koodia laitteissa, joita ei ollut korjattu.

CISA on sisällyttänyt nämä kaksi tietoturvavirhettä tunnettujen hyödynnettyjen haavoittuvuuksien luetteloonsa ja ilmoittanut, että ne ovat usein haitallisten kybertoimijoiden kohteena ja aiheuttavat merkittäviä riskejä liittovaltion yritykselle. Tämän seurauksena Yhdysvaltain liittovaltion siviilitoimielinten (FCEB) on korjattava kaikki luettelossa luetellut haavoittuvuudet tietyn ajan kuluessa marraskuussa 22 julkaistun sitovan toimintaohjeen (BOD 01-2022) mukaisesti. Tämän päivityksen valossa , liittovaltion virastojen on suojattava verkoissaan haavoittuvat iOS-, iPadOS- ja macOS-laitteet CVE-2023-41064- ja CVE-2023-41061-standardeja vastaan ​​2. lokakuuta 2023 mennessä.

Vaikka direktiivi koskee ensisijaisesti Yhdysvaltain liittovaltion virastoja, CISA kehottaa vahvasti yksityisiä yrityksiä priorisoimaan näiden haavoittuvuuksien korjaamista mahdollisimman pian. Apple on puuttunut aktiivisesti nollapäivän haavoittuvuuksiin käyttöjärjestelmissään tänä vuonna, ja yhteensä 13 hyväksikäyttöä on korjattu tammikuun 2023 jälkeen.

Määritelmät:

– Zero-click exploit: Kyberhyökkäystyyppi, jossa haavoittuvuuden hyödyntäminen ei vaadi käyttäjän toimia.

– iMessage: Applen laitteilleen kehittämä viestintäalusta.

– Vakoiluohjelmat: Haittaohjelmat, jotka on suunniteltu keräämään salaa tietoja kohdelaitteesta tai -tietokoneesta.

