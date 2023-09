Agencija ZDA za kibernetsko varnost in varnost infrastrukture (CISA) je zveznim agencijam izdala ukaz, naj popravijo varnostne ranljivosti, ki so bile izkoriščene v okviru verige izkoriščanja iMessage brez klika. Te ranljivosti so bile uporabljene za okužbo telefonov iPhone z vohunsko programsko opremo Pegasus, ki jo je razvila skupina NSO. Ta ukrep sledi razkritju Citizen Laba, da so bili popolnoma zakrpani telefoni iPhone, ki pripadajo organizaciji civilne družbe v Washingtonu DC, ogroženi z uporabo verige izkoriščanja, imenovane BLASTPASS, ki je uporabljala priloge PassKit, ki vsebujejo zlonamerne slike.

Citizen Lab je tudi opozoril stranke Apple, naj takoj uporabijo nujne posodobitve, ki so bile izdane v četrtek. Nadalje so pozvali posameznike, ki so zaradi svoje identitete ali poklica lahko dovzetni za ciljne napade, naj omogočijo način zaklepanja.

Dve ranljivosti, znani kot Image I/O in Wallet, sta bili sledeni kot CVE-2023-41064 oziroma CVE-2023-41061. Apple je potrdil poročilo o aktivnem izkoriščanju in je od takrat izdal popravke za te ranljivosti v najnovejših različicah macOS Ventura, iOS, iPadOS in watchOS. Te posodobitve obravnavajo ravnanje s pomnilnikom in logične težave, ki so napadalcem omogočale izvajanje poljubne kode na napravah, ki niso bile popravljene.

CISA je ti dve varnostni napaki vključila v svoj katalog znanih izkoriščenih ranljivosti in navedla, da sta pogosto tarči zlonamernih kibernetskih akterjev in predstavljata veliko tveganje za zvezno podjetje. Posledično morajo ameriške zvezne civilne izvršne agencije (FCEB) popraviti vse ranljivosti, navedene v katalogu, v določenem časovnem okviru v skladu z zavezujočo operativno direktivo (BOD 22-01), objavljeno novembra 2022. V luči te posodobitve , morajo zvezne agencije zaščititi ranljive naprave iOS, iPadOS in macOS v svojih omrežjih pred CVE-2023-41064 in CVE-2023-41061 do 2. oktobra 2023.

Čeprav se direktiva nanaša predvsem na ameriške zvezne agencije, CISA zasebnim podjetjem močno svetuje, naj dajo prednost čimprejšnjemu popravku teh ranljivosti. Apple se letos aktivno ukvarja z ranljivostmi ničelnega dne v svojih operacijskih sistemih, pri čemer je bilo od januarja 13 odpravljenih skupno 2023 izkoriščanj.

Opredelitve:

– Izkoriščanje brez klika: vrsta kibernetskega napada, pri katerem za izkoriščanje ranljivosti ni potrebna nobena interakcija uporabnika.

– iMessage: platforma za sporočanje, ki jo je razvil Apple za svoje naprave.

– Vohunska programska oprema: zlonamerna programska oprema, zasnovana za skrivaj zbiranje informacij iz ciljne naprave ali računalnika.

Viri:

– CISA

– Državljanski laboratorij