A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) ordenou hoje às agências federais que corrijam as vulnerabilidades de segurança abusadas como parte de uma cadeia de exploração iMessage zero-click para infectar iPhones com o spyware Pegasus do NSO Group.
Este alerta ocorre após o Citizen Lab divulgar que as duas falhas foram usadas para comprometer iPhones totalmente atualizados pertencentes a uma organização da sociedade civil sediada em Washington DC, usando uma cadeia de exploração chamada BLASTPASS que funcionava por meio de anexos PassKit contendo imagens maliciosas.
O Citizen Lab também alertou os clientes da Apple para aplicarem atualizações de emergência emitidas na quinta-feira imediatamente e pediu a indivíduos suscetíveis a ataques direcionados devido à sua identidade ou ocupação que ativassem o Modo de Bloqueio.
"A Apple está ciente de um relatório de que este problema pode ter sido explorado ativamente", disse a empresa ao descrever as duas vulnerabilidades da Image I/O e Wallet, rastreadas como
CVE-2023-41064
e
CVE-2023-41061
.
A lista de dispositivos afetados é bastante extensa, já que os bugs afetam tanto modelos mais antigos quanto novos, e inclui:
iPhone 8 e posterior
iPad Pro (todos os modelos), iPad Air de 3ª geração e posterior, iPad de 5ª geração e posterior, e iPad mini de 5ª geração e posterior
Macs que executam o macOS Ventura
Apple Watch Series 4 e posterior
A Apple corrigiu os dois zero-days no macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2 com manipulação de memória e lógica melhorada. Ambos permitem que os invasores obtenham execução arbitrária de código em dispositivos não atualizados.
Na segunda-feira, a CISA adicionou as duas falhas de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, marcando-as como "vetores de ataque frequentes para atores cibernéticos maliciosos" e representando "riscos significativos para a empresa federal".
As Agências Executivas Civis Federais dos EUA (FCEB) devem corrigir todas as vulnerabilidades adicionadas ao catálogo KEV da CISA dentro de um prazo limitado, conforme uma diretriz operacional vinculativa (BOD 22-01) publicada em novembro de 2022.
Após a atualização de hoje, as agências federais devem proteger todos os dispositivos iOS, iPadOS e macOS vulneráveis em suas redes contra
CVE-2023-41064
e
CVE-2023-41061
até 2 de outubro de 2023.
Embora a BOD 22-01 se concentre principalmente nas agências federais dos EUA, a CISA também aconselhou fortemente as empresas privadas a priorizarem a correção das duas vulnerabilidades o mais rápido possível.
Desde janeiro de 2023, a Apple corrigiu um total de 13 zero-days explorados para atingir dispositivos iOS, macOS, iPadOS e watchOS, incluindo:
dois zero-days (
CVE-2023-37450
e
CVE-2023-38606
) em julho
três zero-days (
CVE-2023-32434
,
CVE-2023-32435
e
CVE-2023-32439
) em junho
mais três zero-days (
CVE-2023-32409
,
CVE-2023-28204
e
CVE-2023-32373
) em maio
dois zero-days (
CVE-2023-28206
e
CVE-2023-28205
) em abril
e um zero-day do WebKit (
CVE-2023-23529
) em fevereiro
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...