Aujourd’hui, la CISA a ordonné aux agences fédérales de corriger les vulnérabilités de sécurité récemment corrigées exploitées comme des jours zéro pour déployer des logiciels espions de triangulation sur les iPhones via des exploits iMessage sans clic.
L’avertissement intervient après que Kaspersky a publié un rapport détaillant un composant malveillant de triangulation utilisé dans une campagne qu’il suit sous le nom d' »Opération Triangulation ».
Kaspersky dit avoir trouvé les logiciels espions sur les iPhones appartenant aux employés de son bureau de Moscou et d’autres pays. Les attaques ont commencé en 2019 et sont toujours en cours, selon la société, et elles utilisent des exploits iMessage zero-click qui exploitent les bogues iOS zero-day désormais corrigés.
L’agence de renseignement russe FSB a également affirmé qu’Apple avait collaboré avec la NSA pour créer une porte dérobée, facilitant l’infiltration des iPhones en Russie. Le FSB a également déclaré qu’il aurait trouvé des milliers d’iPhones infectés appartenant à des responsables du gouvernement russe et au personnel des ambassades en Israël, en Chine et dans les pays membres de l’OTAN.
« Nous n’avons jamais travaillé avec un gouvernement pour insérer une porte dérobée dans un produit Apple et nous ne le ferons jamais », a déclaré un porte-parole d’Apple à Breachtrace.
« Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre des versions d’iOS publiées avant iOS 15.7 », a déclaré mercredi la société en décrivant les deux vulnérabilités Kernel et WebKit (CVE-2023-32434 et CVE-2023-32435 ) exploités dans les attentats.
La société a également corrigé cette semaine un WebKit zero-day (CVE-2023-32439) qui peut permettre aux attaquants d’obtenir l’exécution de code arbitraire sur des appareils non corrigés. Cela a également été étiqueté par CISA aujourd’hui comme une faille activement exploitée.
La liste des appareils concernés est longue, car le jour zéro affecte les modèles plus anciens et plus récents, et comprend :
- iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 5e génération et versions ultérieures
- iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1re génération), iPad Air 2, iPad mini (4e génération) et iPod touch (7e génération)
- Mac exécutant macOS Big Sur, Monterey et Ventura
- Apple Watch Series 4 et versions ultérieures, Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7 et SE
Jeudi, Apple a envoyé une autre série de notifications de menace alertant les clients qu’ils étaient la cible d’attaques parrainées par l’État, un jour après avoir corrigé les jours zéro exploités pour déployer le logiciel espion Triangulation. Cependant, on ne sait pas à quels incidents ces nouveaux avertissements sont liés, selon le journaliste de CNN Chris Bing.
Les agences fédérales ont reçu l’ordre de patcher d’ici le 14 juillet
Une autre vulnérabilité que CISA a ajoutée aujourd’hui à sa liste de vulnérabilités exploitées connues (KEV) est un bogue critique d’injection de commande de pré-authentification (CVE-2023-27992) qui peut permettre à des attaquants non authentifiés d’exécuter des commandes du système d’exploitation sur un stockage en réseau (NAS) exposé à Internet. appareils non corrigés.
Zyxel a averti mardi ses clients de sécuriser leurs appareils NAS « pour une protection optimale », des semaines après que les botnets basés sur Mirai aient ciblé les pare-feu et les produits VPN de Zyxel lors d’une vague massive d’attaques.
CISA a également inclus une vulnérabilité VMware ESXi (CVE-2023-20867) dans son catalogue KEV. Ce bogue a été abusé par un groupe de piratage soutenu par la Chine (UNC3886) pour détourner des machines virtuelles Windows et Linux lors d’attaques de vol de données.
Les agences du pouvoir exécutif civil fédéral américain (FCEB) doivent corriger toutes les vulnérabilités de sécurité ajoutées au catalogue KEV de la CISA dans un délai imparti, conformément à une directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2022.
Après la dernière mise à jour, les agences fédérales ont été chargées de sécuriser les appareils vulnérables contre les failles incluses aujourd’hui d’ici le 14 juin 2023.
Bien que BOD 22-01 se concentre principalement sur les agences fédérales américaines, il est fortement recommandé aux entreprises privées de traiter en priorité les vulnérabilités décrites dans la liste KEV de CISA, qui comprend des bogues connus pour être exploités dans des attaques.