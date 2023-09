La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un ordine alle agenzie federali per correggere le vulnerabilità di sicurezza sfruttate come parte di una catena di exploit iMessage senza clic. Queste vulnerabilità sono state sfruttate per infettare gli iPhone con lo spyware Pegasus sviluppato da NSO Group. Questa azione fa seguito alla divulgazione da parte di Citizen Lab secondo cui gli iPhone dotati di patch complete appartenenti a un'organizzazione della società civile a Washington DC sono stati compromessi utilizzando una catena di exploit chiamata BLASTPASS, che utilizzava allegati PassKit contenenti immagini dannose.

Citizen Lab ha inoltre avvertito i clienti Apple di applicare immediatamente gli aggiornamenti di emergenza rilasciati giovedì. Hanno inoltre esortato le persone che potrebbero essere suscettibili ad attacchi mirati a causa della loro identità o occupazione ad abilitare la modalità di blocco.

Le due vulnerabilità, note come Image I/O e Wallet, sono state tracciate rispettivamente come CVE-2023-41064 e CVE-2023-41061. Apple ha riconosciuto la segnalazione di sfruttamento attivo e da allora ha rilasciato correzioni per queste vulnerabilità nelle ultime versioni di macOS Ventura, iOS, iPadOS e watchOS. Questi aggiornamenti risolvono la gestione della memoria e i problemi logici che consentivano agli aggressori di eseguire codice arbitrario su dispositivi a cui non erano state applicate patch.

La CISA ha incluso queste due falle di sicurezza nel suo catalogo delle vulnerabilità sfruttate note, affermando che sono spesso prese di mira da attori informatici dannosi e rappresentano rischi significativi per l'impresa federale. Di conseguenza, le agenzie federali civili esecutive degli Stati Uniti (FCEB) sono tenute a correggere tutte le vulnerabilità elencate nel catalogo entro un periodo di tempo specificato, secondo una direttiva operativa vincolante (BOD 22-01) pubblicata nel novembre 2022. Alla luce di questo aggiornamento , le agenzie federali devono proteggere i dispositivi iOS, iPadOS e macOS vulnerabili sulle loro reti da CVE-2023-41064 e CVE-2023-41061 entro il 2 ottobre 2023.

Sebbene la direttiva si applichi principalmente alle agenzie federali statunitensi, la CISA consiglia vivamente alle aziende private di dare priorità alla correzione di queste vulnerabilità il prima possibile. Quest’anno Apple ha affrontato attivamente le vulnerabilità zero-day nei suoi sistemi operativi, con un totale di 13 exploit risolti da gennaio 2023.

