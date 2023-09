By

Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydała nakaz agencjom federalnym załatanie luk w zabezpieczeniach wykorzystanych w ramach łańcucha exploitów iMessage polegającego na zerowym kliknięciu. Luki te zostały wykorzystane do zainfekowania iPhone'ów oprogramowaniem szpiegującym Pegasus opracowanym przez NSO Group. Działanie to jest następstwem ujawnienia przez Citizen Lab, że w pełni załatane iPhone'y należące do organizacji społeczeństwa obywatelskiego w Waszyngtonie zostały zhakowane przy użyciu łańcucha exploitów o nazwie BLASTPASS, który wykorzystywał załączniki PassKit zawierające złośliwe obrazy.

Citizen Lab przestrzegł również klientów Apple, aby natychmiast zastosowali aktualizacje awaryjne wydane w czwartek. Ponadto nawołują osoby, które mogą być podatne na ataki ukierunkowane ze względu na swoją tożsamość lub zawód, aby włączyły tryb blokady.

Dwie luki, znane jako Image I/O i Wallet, zostały wyśledzone odpowiednio jako CVE-2023-41064 i CVE-2023-41061. Firma Apple przyjęła do wiadomości raport o aktywnym wykorzystaniu luki i od tego czasu opublikowała poprawki tych luk w najnowszych wersjach systemów macOS Ventura, iOS, iPadOS i watchOS. Te aktualizacje rozwiązują problemy z obsługą pamięci i logiką, które umożliwiły atakującym wykonanie dowolnego kodu na urządzeniach, które nie zostały załatane.

CISA umieściła te dwie luki w swoim katalogu znanych luk w zabezpieczeniach, stwierdzając, że często stanowią one cel złośliwych cyberprzestępców i stanowią poważne ryzyko dla przedsiębiorstwa federalnego. W rezultacie amerykańskie federalne agencje wykonawcze cywilne (FCEB) mają obowiązek załatać wszystkie luki wymienione w katalogu w określonym terminie, zgodnie z wiążącą dyrektywą operacyjną (BOD 22-01) opublikowaną w listopadzie 2022 r. W świetle tej aktualizacji agencje federalne muszą zabezpieczyć podatne na ataki urządzenia iOS, iPadOS i macOS w swoich sieciach przed CVE-2023-41064 i CVE-2023-41061 do 2 października 2023 r.

Chociaż dyrektywa dotyczy przede wszystkim agencji federalnych Stanów Zjednoczonych, CISA zdecydowanie zaleca firmom prywatnym, aby priorytetowo potraktowały jak najszybsze załatanie tych luk. W tym roku Apple aktywnie eliminowało luki typu zero-day w swoich systemach operacyjnych, a od stycznia 13 r. naprawiono łącznie 2023 exploitów.

Definicje:

– Exploit typu „zero kliknięć”: rodzaj cyberataku, w którym do wykorzystania luki nie jest wymagana żadna interakcja użytkownika.

– iMessage: platforma do przesyłania wiadomości opracowana przez firmę Apple dla jej urządzeń.

– Oprogramowanie szpiegowskie: złośliwe oprogramowanie zaprojektowane w celu tajnego gromadzenia informacji z docelowego urządzenia lub komputera.

