La Cybersecurity and Infrastructure Security Agency (CISA) a ordonné aujourd’hui aux agences fédérales de corriger les vulnérabilités de sécurité exploitées comme des zero-days lors d’attaques récentes pour installer des logiciels espions commerciaux sur les appareils mobiles.

Les failles en question ont été exploitées dans le cadre de plusieurs chaînes d’exploitation dans deux campagnes distinctes très ciblées ciblant les utilisateurs d’Android et d’iOS, comme l’a récemment révélé le Threat Analysis Group (TAG) de Google.

Lors de la première série d’attaques repérées en novembre 2022, les acteurs de la menace ont utilisé des chaînes d’exploitation distinctes pour compromettre les appareils iOS et Android.

Un mois plus tard, une chaîne complexe de plusieurs jours 0 et n jours a été exploitée pour cibler les téléphones Samsung Android exécutant des versions à jour du navigateur Internet Samsung.

La charge utile finale était une suite de logiciels espions pour Android capable de déchiffrer et d’extraire des données de nombreuses applications de chat et de navigateur.

Les deux campagnes étaient très ciblées et les attaquants « ont profité du grand intervalle de temps entre la publication du correctif et le moment où il a été entièrement déployé sur les appareils des utilisateurs finaux », selon Clément Lecigne de Google TAG.

La découverte de Google TAG a été motivée par les découvertes partagées par le laboratoire de sécurité d’Amnesty International, qui a également publié des détails concernant les domaines et l’infrastructure utilisés dans les attaques.

CISA a ajouté aujourd’hui cinq des dix vulnérabilités utilisées dans les deux campagnes de logiciels espions à son catalogue de vulnérabilités exploitées connues (KEV) :

  • CVE-2021-30900 Vulnérabilité d’écriture hors limites Apple iOS, iPadOS et macOS
  • CVE-2022-38181 Arm Mali GPU Kernel Driver Use-After-Free Vulnerability
  • CVE-2023-0266 Vulnérabilité d’utilisation après libération du noyau Linux
  • CVE-2022-3038 Vulnérabilité liée à l’utilisation ultérieure de Google Chrome
  • CVE-2022-22706 Arm Mali GPU Kernel Driver Vulnérabilité non spécifiée

L’agence de cybersécurité a donné aux agences fédérales civiles du pouvoir exécutif (FCEB) trois semaines, jusqu’au 20 avril, pour patcher les appareils mobiles vulnérables contre les attaques potentielles qui cibleraient ces cinq failles de sécurité.

Selon la directive opérationnelle contraignante BOD 22-01 émise en novembre 2021, les agences FCEB doivent sécuriser leurs réseaux contre tous les bogues ajoutés à la liste des vulnérabilités de CISA connues pour être exploitées dans des attaques.

Alors que la directive BOD 22-01 ne s’applique qu’aux agences FCEB, CISA a fortement exhorté aujourd’hui toutes les organisations à prioriser l’emballage de ces bugs pour contrecarrer les tentatives d’exploitation.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti la CISA.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *