L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ordonné aujourd’hui aux agences fédérales de corriger les failles de sécurité exploitées dans le cadre d’une chaîne d’exploitation iMessage sans clic pour infecter les iPhones avec le logiciel espion Pegasus de NSO Group.
Cet avertissement intervient après que Citizen Lab a révélé que les deux failles avaient été utilisées pour compromettre des iPhones entièrement corrigés appartenant à une organisation de la société civile basée à Washington DC en utilisant une chaîne d’exploitation nommée BLASTPASS qui fonctionnait via des pièces jointes PassKit contenant des images malveillantes.
Citizen Lab a également averti les clients Apple d’appliquer immédiatement les mises à jour d’urgence publiées jeudi et a exhorté les personnes susceptibles d’être victimes d’attaques ciblées en raison de leur identité ou de leur profession à activer le mode de verrouillage.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a déclaré la société en décrivant les deux vulnérabilités Image I/O et Wallet, suivies comme CVE-2023-41064 et CVE-2023-41061.
La liste des appareils concernés est assez longue, car les bugs affectent à la fois les modèles plus anciens et plus récents, et comprend :
- iPhone 8 et versions ultérieures
- iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- Mac exécutant macOS Ventura
- Apple Watch Series 4 et versions ultérieures
Apple a corrigé les deux jours zéro dans macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 et watchOS 9.6.2 avec une gestion de la mémoire et une logique améliorée. Les deux permettent aux attaquants d’exécuter du code arbitraire sur des appareils non corrigés.
Date limite du patch du 2 octobre
Lundi, la CISA a ajouté les deux failles de sécurité à son catalogue de vulnérabilités exploitées connues, les qualifiant de « vecteurs d’attaque fréquents pour les cyberacteurs malveillants » et posant « des risques importants pour l’entreprise fédérale ».
Les agences fédérales civiles du pouvoir exécutif (FCEB) doivent corriger toutes les vulnérabilités ajoutées au catalogue KEV de la CISA dans un délai limité, conformément à une directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2022.
Après la mise à jour d’aujourd’hui, les agences fédérales doivent sécuriser tous les appareils iOS, iPadOS et macOS vulnérables sur leurs réseaux contre CVE-2023-41064 et CVE-2023-41061 d’ici le 2 octobre 2023.
Alors que le BOD 22-01 se concentre principalement sur les agences fédérales américaines, la CISA conseille également fortement aux entreprises privées de donner la priorité à la correction des deux vulnérabilités dès que possible.
Depuis janvier 2023, Apple a corrigé un total de 13 jours zéro exploités pour cibler les appareils iOS, macOS, iPadOS et watchOS, notamment :
- deux zero-days (CVE-2023-37450 et CVE-2023-38606) en juillet
- trois jours zéro (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439) en juin
- trois autres jours zéro (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
- deux zero-days (CVE-2023-28206 et CVE-2023-28205) en avril
- et un WebKit zero-day (CVE-2023-23529) en février