La Cybersecurity and Infrastructure Security Agency (CISA) a ordonné aux agences fédérales de corriger deux vulnérabilités de sécurité activement exploitées dans la nature pour pirater les iPhones, les Mac et les iPad.
Selon une directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2022, les agences fédérales civiles du pouvoir exécutif (FCEB) sont tenues de corriger leurs systèmes contre tous les bogues de sécurité ajoutés au catalogue de vulnérabilités exploitées connues de CISA.
Les agences FCEB doivent désormais sécuriser les appareils iOS, iPadOS et macOS jusqu’au 1er mai 2023, contre deux failles corrigées par Apple vendredi et ajoutées à la liste des bugs exploités dans les attaques de CISA lundi.
Le premier bogue (CVE-2023-28206) est une écriture hors limites IOSurfaceAccelerator qui pourrait permettre aux attaquants d’utiliser des applications conçues de manière malveillante pour exécuter du code arbitraire avec des privilèges de noyau sur les appareils ciblés.
Le second (CVE-2023-28205) est une utilisation de WebKit après une faiblesse gratuite qui permet aux pirates d’exécuter du code malveillant sur des iPhones, Mac ou iPad piratés après avoir incité les cibles à charger des pages Web malveillantes sous le contrôle des attaquants.
Apple a résolu les deux zero-days dans iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 et Safari 16.4.1 en améliorant la validation des entrées et la gestion de la mémoire.
La société a déclaré que la liste des appareils concernés est assez longue et qu’elle comprend :
- iPhone 8 et versions ultérieures,
- iPad Pro (tous modèles),
- iPad Air 3e génération et versions ultérieures,
- iPad 5e génération et plus tard,
- iPad mini 5e génération et plus tard,
- et les Mac exécutant macOS Ventura.
Les failles ont été découvertes par le groupe d’analyse des menaces de Google et le laboratoire de sécurité d’Amnesty International alors qu’elles étaient exploitées dans des attaques dans le cadre d’une chaîne d’exploitation.
Clément Lecigne du Threat Analysis Group de Google et Donncha Ó Cearbhaill du Security Lab d’Amnesty International sont ceux crédités par Apple pour avoir signalé les bugs.
Les deux organisations signalent fréquemment des campagnes d’acteurs de la menace parrainées par le gouvernement, dans lesquelles les vulnérabilités du jour zéro sont exploitées pour installer des logiciels espions sur les appareils d’individus à haut risque, comme des politiciens, des journalistes et des dissidents du monde entier.
Google TAG et Amnesty International ont partagé plus d’informations sur d’autres vulnérabilités Android, iOS et Chrome de type zero-day et n-day exploitées lors de deux campagnes récentes visant à déployer des logiciels espions commerciaux.
Même si les vulnérabilités qui ont été ajoutées par CISA à son catalogue KEV aujourd’hui n’étaient probablement exploitées que dans des attaques très ciblées, il est conseillé de les corriger dès que possible pour prévenir les attaques potentielles.
Il y a deux mois, Apple a corrigé une autre vulnérabilité zero-day de WebKit (CVE-2023-23529) qui a été exploitée pour déclencher des plantages du système d’exploitation et obtenir l’exécution de code sur les iPhone, iPad et Mac vulnérables.