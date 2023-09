De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale instanties opdracht gegeven om beveiligingskwetsbaarheden te patchen die zijn uitgebuit als onderdeel van een zero-click iMessage-exploitketen. Deze kwetsbaarheden werden gebruikt om iPhones te infecteren met de door NSO Group ontwikkelde Pegasus-spyware. Deze actie volgt op de onthulling door Citizen Lab dat volledig gepatchte iPhones van een maatschappelijke organisatie in Washington DC werden gecompromitteerd met behulp van een exploitketen genaamd BLASTPASS, die gebruik maakte van PassKit-bijlagen met kwaadaardige afbeeldingen.

Citizen Lab heeft Apple-klanten ook gewaarschuwd om noodupdates die donderdag zijn uitgebracht onmiddellijk door te voeren. Ze hebben er verder bij personen op aangedrongen die vanwege hun identiteit of beroep mogelijk vatbaar zijn voor gerichte aanvallen, om de Lockdown-modus in te schakelen.

De twee kwetsbaarheden, bekend als Image I/O en Wallet, zijn respectievelijk gevolgd als CVE-2023-41064 en CVE-2023-41061. Apple erkende het rapport van actieve exploitatie en heeft sindsdien oplossingen voor deze kwetsbaarheden uitgebracht in de nieuwste versies van macOS Ventura, iOS, iPadOS en watchOS. Deze updates pakken de problemen met geheugenverwerking en logica aan, waardoor aanvallers willekeurige code konden uitvoeren op apparaten waarvoor geen patch was aangebracht.

CISA heeft deze twee beveiligingsfouten opgenomen in haar Known Exploited Vulnerabilities-catalogus, waarin staat dat ze vaak het doelwit zijn van kwaadwillende cyberactoren en aanzienlijke risico's voor de federale onderneming vormen. Als gevolg hiervan zijn de Amerikaanse Federal Civilian Executive Branch Agencies (FCEB) verplicht om alle in de catalogus genoemde kwetsbaarheden binnen een bepaald tijdsbestek te patchen, volgens een bindende operationele richtlijn (BOD 22-01) die in november 2022 is gepubliceerd. In het licht van deze update moeten federale instanties vóór 2023 oktober 41064 kwetsbare iOS-, iPadOS- en macOS-apparaten op hun netwerken beveiligen tegen CVE-2023-41061 en CVE-2-2023.

Hoewel de richtlijn in de eerste plaats van toepassing is op Amerikaanse federale agentschappen, adviseert CISA particuliere bedrijven met klem om prioriteit te geven aan het zo snel mogelijk patchen van deze kwetsbaarheden. Apple is dit jaar actief bezig met het aanpakken van zero-day-kwetsbaarheden in zijn besturingssystemen, waarbij sinds januari 13 in totaal dertien exploits zijn verholpen.

Definities:

– Zero-click exploit: Een type cyberaanval waarbij geen gebruikersinteractie vereist is om de kwetsbaarheid te kunnen misbruiken.

– iMessage: een berichtenplatform dat door Apple voor zijn apparaten is ontwikkeld.

– Spyware: Schadelijke software die is ontworpen om in het geheim informatie van een doelapparaat of computer te verzamelen.

Bronnen:

– CISA

– Burgerlab