A Agência de Segurança Cibernética e de Infraestrutura (CISA) ordenou hoje que agências federais corrijam as vulnerabilidades de segurança exploradas como zero-days em ataques recentes para instalar spyware comercial em dispositivos móveis.
As falhas em questão foram exploradas como parte de várias cadeias de exploração em duas campanhas altamente direcionadas que visavam usuários do Android e iOS, como revelado recentemente pelo Google Threat Analysis Group (TAG).
Na primeira série de ataques observados em novembro de 2022, os atores de ameaças usaram cadeias de exploração separadas para comprometer dispositivos iOS e Android.
Um mês depois, uma cadeia complexa de múltiplos 0-dias e n-dias foi explorada para atingir telefones Android Samsung que executam versões atualizadas do navegador Samsung Internet.
O payload final foi uma suíte de spyware para Android capaz de descriptografar e extrair dados de várias conversas e aplicativos de navegador.
Ambas as campanhas foram altamente direcionadas e os atacantes "aproveitaram o grande intervalo de tempo entre o lançamento da correção e quando ela foi totalmente implantada nos dispositivos do usuário final", de acordo com Clément Lecigne do Google TAG.
A descoberta do Google TAG foi motivada por descobertas compartilhadas pelo Security Lab da Anistia Internacional, que também publicou detalhes sobre domínios e infraestrutura usados nos ataques.
A CISA adicionou hoje cinco das dez vulnerabilidades usadas nas duas campanhas de spyware ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV).
A agência de segurança cibernética deu às agências do Poder Executivo Civil Federal (FCEB) três semanas, até 20 de abril, para corrigir dispositivos móveis vulneráveis contra possíveis ataques que visariam essas cinco falhas de segurança.
De acordo com a Diretiva Operacional Obrigatória BOD 22-01 emitida em novembro de 2021, as agências FCEB devem proteger suas redes contra todos os bugs adicionados à lista de vulnerabilidades conhecidas por serem exploradas em ataques da CISA.
Embora a diretiva BOD 22-01 se aplique apenas às agências FCEB, a CISA instou fortemente hoje todas as organizações a priorizar a correção desses bugs para frustrar tentativas de exploração.
"Esses tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos mal-intencionados e representam riscos significativos para a empresa federal", alertou a CISA.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...