Apple fejlretning til de fleste Apple produkter for en nuldags udnyttelse
CISA advarer om spionangreb
CISA beordrede i dag føderale agenturer til at rette nyligt patched sikkerhedssårbarheder, der blev udnyttet som zero-days for at indsætte Triangulation spyware på iPhones via iMessage zero-click udnyttelser. Man kan altså bruge udnyttelsen til at installere anden software, spionovervågning, installere bagdøre, eller oprette botnet.
Advarslen kommer efter, at Kaspersky har offentliggjort en rapport, der detaljerer en Triangulation malware komponent, der blev brugt i en kampagne, de sporer som “Operation Triangulation.”
Kaspersky siger, “at det har fundet spyware på iPhones tilhørende medarbejdere i deres Moskva-kontor og fra andre lande.” Angrebene startede i 2019 og er stadig igangværende ifølge selskabet, og de benytter iMessage zero-click udnyttelser, der udnytter de nu-patched iOS zero-day fejl.
Rusland mener at russiske Apple telefoner og computere kan aflæses for at hjælpe Ukraine
Ruslands FSB efterretningsagentur hævder også, at Apple samarbejdede med NSA for at skabe en bagdør, der letter infiltrationen af iPhones i Rusland. FSB sagde også, at de angiveligt fandt tusindvis af inficerede iPhones ejet af russiske regeringsmedarbejdere og ambassadepersonale i Israel, Kina, og NATO-medlemsnationer.
“Apple er opmærksom på en rapport, der hævder, at denne problematik kan være blevet aktivt udnyttet mod versioner af iOS, der blev frigivet før iOS 15.7,”
Det siger Apple, da Apple beskrev de to Kernel- og WebKit-sårbarheder (CVE-2023-32434 og CVE-2023-32435), der blev udnyttet i angrebene.
Selskabet rettede også en WebKit zero-day (CVE-2023-32439) denne uge, som kan lade angribere opnå vilkårlig kode-udførelse på upatchede enheder. Dette blev også mærket af CISA i dag som en aktivt udnyttet fejl.
Listen over berørte enheder er omfattende, da zero-day påvirker ældre og nyere modeller, og den inkluderer:
- iPhone 8 og senere
- iPad Pro (alle modeller), iPad Air 3. generation og senere, iPad 5. generation og senere, iPad mini 5. generation og senere
- iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
- Macs der kører macOS Big Sur, Monterey og Ventura, det vil sige praktisk taget alle ældre iMAC modeller
- Apple Watch Series 4 og senere, Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7 og SE
Torsdag sendte Apple en anden runde trusselmeddelelser, der advarede kunder om, at de var blevet målrettet i statsstøttede angreb, en dag efter at have rettet zero-days udnyttet til at indsætte Triangulation spyware. Men det er dog ikke klart, hvilke hændelser disse nye advarsler relaterer til, ifølge CNN-reporter Chris Bing.
Boris Larin har beordret Føderale agenturer til at patche inden 14. juli
En anden sårbarhed, som CISA tilføjede til sin liste over kendte udnyttede sårbarheder i dag, er en kritisk pre-authentication command injection bug (CVE-2023-27992), der kan lade uautoriserede angribere udføre operativsystemkommandoer på interneteksponerede Network-Attached Storage (NAS) enheder, der er efterladt upatched.
Zyxel advarede kunder på tirsdag om at sikre deres NAS-enheder “for optimal beskyttelse,” uger efter at Mirai-baserede botnets havde taget Zyxel-firewalls og VPN-produkter for sig i en massiv bølge af angreb.
CISA inkluderede også en VMware ESXi-sårbarhed (CVE-2023-20867) i sit KEV-katalog. Denne bug blev misbrugt af en kinesisk-baseret hackergruppe (UNC3886) for at bagdøre Windows og Linux virtuelle maskiner i datatyveri-angreb.
U.S. Federal Civilian Executive Branch Agencies (FCEB) skal rette alle sikkerhedssårbarheder tilføjet til CISA’s KEV-katalog indenfor en tildelt tidsramme, ifølge en bindende operationel direktiv (BOD 22-01), der blev offentliggjort i november 2022.
Efter den seneste opdatering har føderale agenturer fået besked på at sikre sårbare enheder mod fejl inkluderet i dag inden 14. juni 2023.
Selvom BOD 22-01 primært fokuserer på U.S. føderale agenturer, anbefales det stærkt, at private virksomheder også prioriterer at håndtere sårbarhederne, der er skitseret i CISA’s KEV-liste, som inkluderer bugs kendt for at blive udnyttet i angreb.
Kilde: Apple, Cisa, Zyxel, VMWARE