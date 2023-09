US Cybersecurity and Infrastructure Security Agency (CISA) har gitt en ordre til føderale byråer om å lappe sikkerhetssårbarheter som ble utnyttet som en del av en null-klikk iMessage-utnyttelseskjede. Disse sårbarhetene ble brukt til å infisere iPhones med Pegasus-spyware utviklet av NSO Group. Denne handlingen følger avsløringen av Citizen Lab om at full-patchede iPhones som tilhører en sivilsamfunnsorganisasjon i Washington DC ble kompromittert ved å bruke en utnyttelseskjede kalt BLASTPASS, som brukte PassKit-vedlegg som inneholdt ondsinnede bilder.

Citizen Lab har også advart Apple-kunder om å umiddelbart bruke nødoppdateringer som ble utgitt på torsdag. De har videre oppfordret enkeltpersoner som kan være utsatt for målrettede angrep på grunn av deres identitet eller yrke om å aktivere låsemodus.

De to sårbarhetene, kjent som Image I/O og Wallet, har blitt sporet som henholdsvis CVE-2023-41064 og CVE-2023-41061. Apple erkjente rapporten om aktiv utnyttelse og har siden gitt ut rettelser for disse sårbarhetene i de nyeste versjonene av macOS Ventura, iOS, iPadOS og watchOS. Disse oppdateringene adresserer minnehåndteringen og logikkproblemene som gjorde at angripere kunne kjøre vilkårlig kode på enheter som ikke var lappet.

CISA har inkludert disse to sikkerhetsfeilene i sin katalog over kjente utnyttede sårbarheter, og sier at de ofte er målrettet av ondsinnede cyberaktører og utgjør betydelige risikoer for det føderale foretaket. Som et resultat er US Federal Civilian Executive Branch Agencies (FCEB) pålagt å lappe alle sårbarheter som er oppført i katalogen innen en spesifisert tidsramme, i henhold til et bindende driftsdirektiv (BOD 22-01) publisert i november 2022. I lys av denne oppdateringen , må føderale byråer sikre sårbare iOS-, iPadOS- og macOS-enheter på nettverkene sine mot CVE-2023-41064 og CVE-2023-41061 innen 2. oktober 2023.

Selv om direktivet først og fremst gjelder amerikanske føderale byråer, anbefaler CISA på det sterkeste private selskaper å prioritere oppdatering av disse sårbarhetene så snart som mulig. Apple har aktivt adressert nulldagssårbarheter i operativsystemene sine i år, med totalt 13 utnyttelser som er fikset siden januar 2023.

Definisjoner:

– Nullklikksutnyttelse: En type cyberangrep der ingen brukerinteraksjon er nødvendig for at sårbarheten skal utnyttes.

– iMessage: En meldingsplattform utviklet av Apple for enhetene sine.

– Spionvare: Skadelig programvare utviklet for å samle informasjon i hemmelighet fra en målenhet eller datamaskin.

kilder:

– CISA

– Citizen Lab