Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), federal ajanslara vahşi doğada aktif olarak sömürülen iki güvenlik açıkını iPhone'ları, Mac'leri ve iPad'leri hacklemesini emretti.
Kasım 2022'de yayınlanan bağlayıcı bir operasyonel direktife (BOD 22-01) göre, Federal Sivil Yürütme Şube Ajansları (FCEB) ajansları, sistemlerini CISA'nın bilinen sömürülen güvenlik açıkları kataloğuna eklenen tüm güvenlik hatalarına karşı yamalıdır.
FCEB ajansları artık 1 Mayıs 2023'e kadar iOS, iPados ve macOS cihazlarını Cuma günü Apple tarafından ele alınan iki kusura karşı güvence altına almak zorunda ve CISA'nın Pazartesi günü saldırılarda sömürülen böcek listesine ekleniyor.
İlk hata (CVE-2023-28206), saldırganların hedeflenen cihazlarda çekirdek ayrıcalıkları ile keyfi kod yürütmek için kötü niyetli uygulamaları kullanmasına izin verebilecek bir iOSurfaceAccelerator-Sounds-Soundsed yazısıdır.
İkinci (CVE-2023-28205), tehdit aktörlerinin, saldırganların kontrolü altındaki kötü niyetli web sayfaları yüklemeye yönelik hedefleri kandırdıktan sonra saldırıya uğramış iPhone'lar, MAC'ler veya iPad'lerde kötü amaçlı kod yürütmesini sağlayan bir Webkit kullanımıdır.
Apple, iOS 16.4.1, iPados 16.4.1, MacOS Ventura 13.3.1 ve Safari 16.4.1'deki iki sıfır güne giriş doğrulaması ve bellek yönetimini geliştirerek hitap etti.
Şirket, etkilenen cihazların listesinin oldukça geniş olduğunu ve şunları içerdiğini söyledi:
Kusurlar, bir istismar zincirinin bir parçası olarak saldırılarda istismar edilirken Google'ın Tehdit Analiz Grubu ve Af Örgütü Uluslararası Güvenlik Laboratuvarı tarafından keşfedildi.
Google'ın Tehdit Analiz Grubu'ndan Clément Lecigne ve Uluslararası Af Örgütü Güvenlik Laboratuvarı'ndan Donncha ó Cearbhaill, Apple tarafından hataları bildirmek için kredilendirilenlerdir.
Her iki kuruluş da, dünya çapında politikacılar, gazeteciler ve muhalifler gibi yüksek riskli bireylerin cihazlarına casus yazılım yüklemek için sıfır gün güvenlik açıklarının kullanıldığı hükümet destekli tehdit aktörlerinin kampanyalarını sık sık rapor ediyor.
Google Etiket ve Uluslararası Af Örgütü, ticari casus yazılımları dağıtmak için son iki kampanyada istismar edilen diğer Android, iOS ve Chrome Zero-Day ve N-Day güvenlik açıkları hakkında daha fazla bilgi paylaştı.
CISA tarafından bugün KEV kataloğuna eklenen güvenlik açıkları muhtemelen sadece yüksek hedefli saldırılarda sömürülmüş olsa da, potansiyel saldırıları önlemek için mümkün olan en kısa sürede yamalamanız tavsiye edilir.
İki ay önce Apple, işletim sistemi çökmelerini tetiklemek ve savunmasız iPhone'lar, iPad'ler ve Mac'lerde kod yürütme kazanmak için kullanılmış başka bir Webkit Zero-Day güvenlik açığı (CVE-2023-23529) hitap etti.
Apple Düzeltmeleri Son zamanlarda eski iPhone'larda ve iPad'lerde sıfır günleri açıkladı
Apple, iPhone'ları ve Mac'leri hacklemek için sömürülen iki sıfır günü düzeltiyor
Cisa, sıfır gün olarak sömürülen Adobe Coldfusion Bug hakkında uyarıyor
CISA, kritik VMware RCE Kusurunu Saldırılarda Sömürülen uyarıyor
Cisa, sıfır gün olarak sömürülen pencereler ve iOS hataları konusunda uyarıyor
Kaynak: Bleeping Computer