Aujourd’hui, la Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a ordonné aux agences fédérales de corriger trois failles zero-day récemment corrigées affectant les iPhones, les Mac et les iPad connus pour être exploités dans des attaques.
Les bogues de sécurité sont suivis comme CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373, tous trouvés dans le moteur de navigateur WebKit.
Ils permettent aux attaquants d’échapper au bac à sable du navigateur, d’accéder à des informations sensibles sur l’appareil compromis et de réaliser une exécution de code arbitraire après une exploitation réussie.
« Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a déclaré la société en décrivant les failles.
Les trois jours zéro ont été résolus dans macOS Ventura 13.4, iOS et iPadOS 16.5, tvOS 16.5, watchOS 9.5 et Safari 16.5 avec des contrôles de limites améliorés, une validation des entrées et une gestion de la mémoire.
La liste complète des appareils concernés est assez longue et comprend les éléments suivants :
- iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1re génération), iPad Air 2, iPad mini (4e génération), iPod touch (7e génération) et iPhone 8 et versions ultérieures
- iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- Mac exécutant macOS Big Sur, Monterey et Ventura
- Apple Watch série 4 et versions ultérieures
- Apple TV 4K (tous les modèles) et Apple TV HD
Probablement exploité dans des attaques de logiciels espions soutenues par l’État
Bien qu’Apple n’ait pas fourni de détails spécifiques sur les attaques dans lesquelles les bugs ont été abusés, il a révélé que CVE-2023-32409 avait été signalé par Clément Lecigne du Threat Analysis Group de Google et Donncha Ó Cearbhaill du Security Lab d’Amnesty International.
Les deux chercheurs et leurs organisations respectives divulguent fréquemment des informations sur les campagnes parrainées par l’État qui exploitent les vulnérabilités du jour zéro pour installer des logiciels espions de surveillance sur les appareils des politiciens, des journalistes, des dissidents et d’autres individus lors d’attaques très ciblées.
Par exemple, ils ont divulgué en mars des détails sur deux campagnes récentes utilisant des chaînes d’exploitation complexes de failles Android, iOS et Chrome pour installer des logiciels espions mercenaires, l’une d’entre elles étant une faille de contournement Samsung ASLR mise en garde contre CISA vendredi.
Date limite du patch du 12 juin
Conformément à la directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2022, les agences fédérales civiles du pouvoir exécutif (FCEB) doivent appliquer des correctifs à leurs systèmes pour tous les bogues de sécurité répertoriés dans le catalogue des vulnérabilités exploitées connues de la CISA.
Avec la mise à jour d’aujourd’hui, les agences FCEB sont tenues de sécuriser leurs appareils iOS, iPadOS et macOS d’ici le 12 juin 2023.
Bien que principalement destinés aux agences fédérales américaines, il est fortement conseillé aux entreprises privées d’accorder également une priorité élevée à la correction des vulnérabilités contenues dans la liste KEV des bogues exploités dans les attaques.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré lundi la CISA.
En avril, les agences fédérales ont également été averties de sécuriser les iPhones et les Mac sur leurs réseaux contre une autre paire de failles de sécurité iOS et macOS signalées par Google TAG et les chercheurs en sécurité d’Amnesty International.