A CISA alerta agências governamentais a proteger iPhones contra ataques de spyware.
12 de Setembro de 2023

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) ordenou hoje às agências federais que corrijam as vulnerabilidades de segurança abusadas como parte de uma cadeia de exploração iMessage zero-click para infectar iPhones com o spyware Pegasus do NSO Group.

Este alerta ocorre após o Citizen Lab divulgar que as duas falhas foram usadas para comprometer iPhones totalmente atualizados pertencentes a uma organização da sociedade civil sediada em Washington DC, usando uma cadeia de exploração chamada BLASTPASS que funcionava por meio de anexos PassKit contendo imagens maliciosas.

O Citizen Lab também alertou os clientes da Apple para aplicarem atualizações de emergência emitidas na quinta-feira imediatamente e pediu a indivíduos suscetíveis a ataques direcionados devido à sua identidade ou ocupação que ativassem o Modo de Bloqueio.

"A Apple está ciente de um relatório de que este problema pode ter sido explorado ativamente", disse a empresa ao descrever as duas vulnerabilidades da Image I/O e Wallet, rastreadas como CVE-2023-41064 e CVE-2023-41061 .

A lista de dispositivos afetados é bastante extensa, já que os bugs afetam tanto modelos mais antigos quanto novos, e inclui:

iPhone 8 e posterior
iPad Pro (todos os modelos), iPad Air de 3ª geração e posterior, iPad de 5ª geração e posterior, e iPad mini de 5ª geração e posterior
Macs que executam o macOS Ventura
Apple Watch Series 4 e posterior

A Apple corrigiu os dois zero-days no macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2 com manipulação de memória e lógica melhorada. Ambos permitem que os invasores obtenham execução arbitrária de código em dispositivos não atualizados.

Na segunda-feira, a CISA adicionou as duas falhas de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, marcando-as como "vetores de ataque frequentes para atores cibernéticos maliciosos" e representando "riscos significativos para a empresa federal".

As Agências Executivas Civis Federais dos EUA (FCEB) devem corrigir todas as vulnerabilidades adicionadas ao catálogo KEV da CISA dentro de um prazo limitado, conforme uma diretriz operacional vinculativa (BOD 22-01) publicada em novembro de 2022.

Após a atualização de hoje, as agências federais devem proteger todos os dispositivos iOS, iPadOS e macOS vulneráveis em suas redes contra CVE-2023-41064 e CVE-2023-41061 até 2 de outubro de 2023.

Embora a BOD 22-01 se concentre principalmente nas agências federais dos EUA, a CISA também aconselhou fortemente as empresas privadas a priorizarem a correção das duas vulnerabilidades o mais rápido possível.

Desde janeiro de 2023, a Apple corrigiu um total de 13 zero-days explorados para atingir dispositivos iOS, macOS, iPadOS e watchOS, incluindo:

dois zero-days ( CVE-2023-37450 e CVE-2023-38606 ) em julho
três zero-days ( CVE-2023-32434 , CVE-2023-32435 e CVE-2023-32439 ) em junho
mais três zero-days ( CVE-2023-32409 , CVE-2023-28204 e CVE-2023-32373 ) em maio
dois zero-days ( CVE-2023-28206 e CVE-2023-28205 ) em abril
e um zero-day do WebKit ( CVE-2023-23529 ) em fevereiro

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...