Apple iOS’taki iki güvenlik açığı, vahşi ortamda aktif olarak kullanıldı. Şirket, en son yazılım güncellemesi olan Apple iOS’taki bu güvenlik açıkları için yamalar yayınladı.
Kapsamlı güncelleme seti, Apple iOS, iPadOS, macOS, watchOS ve Safari tarayıcısındaki güvenlik açıklarını kapsar.
Tehdit aktörünün kimliği bilinmezken, Apple bu güvenlik açıklarının oluşturduğu riskleri azaltmak için gerekli adımları atıyor.
The Cyber Express’in daha önce bildirdiğine göre, Apple’ın Mayıs ayında yamaladığı üç sıfır gün güvenlik açığı, CISA’nın Bilinen Yararlı Güvenlik Açıkları (KEV) kataloğuna eklendi.
Apple iOS ve İşlem Üçgenlemesindeki güvenlik açıkları
Güncellemeler, Üçgenleme Operasyonu adlı bir mobil gözetim kampanyasında aktif olarak istismar edilen iki sıfır günlük Apple iOS güvenlik açığı da dahil olmak üzere bir dizi güvenlik açığının üstesinden gelmek için tasarlandı.
Apple iOS’taki sıfır gün güvenlik açıklarından biri olan CVE-2023-32434, Çekirdek içindeki bir tamsayı taşması hatasıdır. Bu güvenlik açığı, kötü amaçlı bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod yürütmesine izin verme potansiyeline sahiptir.
CVE-2023-32435 olarak tanımlanan ikinci sıfır gün güvenlik açığı, WebKit içinde özel hazırlanmış web içeriğini işlerken rastgele kod yürütülmesine yol açabilen bir bellek bozulması sorunudur.
Yama uyarısı, “Apple, bu sorunun iOS 15.7’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır” dedi.
Kaspersky araştırmacıları Georgy Kucherin, Leonid Bezvershenko ve Boris Larin bu güvenlik açığını keşfettiler.
iOS cihazlarını hedef alan sıfır tıklama saldırısı kampanyasının daha ayrıntılı analizi, kullanılan casus yazılım implantı hakkında önemli ayrıntıları ortaya çıkardı.
TriangleDB olarak bilinen bu gelişmiş implant, yalnızca cihaz belleğinde çalışır ve yeniden başlatmanın ardından geride hiçbir iz bırakmaz.
Yetenekleri, cihazın dosya sistemiyle etkileşim kurma, süreçleri yönetme, kurbanın kimlik bilgilerini toplamak için anahtarlık öğelerini çıkarma ve coğrafi konumu izleme gibi çok çeşitli etkinlikleri kapsar.
TriangleDB’nin karmaşık doğası, dahil olan tehdit aktörlerinin kararlılığının ve karmaşıklığının altını çiziyor.
CVE-2023-32439 olarak tanımlanan üçüncü bir sıfır gün güvenlik açığı, kötü amaçlı web içeriği işlenirken rastgele kod yürütülmesine izin verir. Apple, bu tür bir karışıklık kusurunu gidermek için geliştirilmiş kontroller uygulamıştır.
Operasyon Eğitimi: Genel Bakış
Siber güvenlik firması Kaspersky’nin bu ay bildirdiğine göre, Üçgen Operasyon adlı gelişmiş bir mobil kampanya, 2019’dan beri iOS cihazlarını hedefliyor.
Kampanya, cihazlara bulaşmak için iMessage aracılığıyla sıfır tıklama açıklarından yararlanarak kullanıcı verilerine tam kontrol ve erişim sağlıyor. Kaspersky, hedeflenen cihazların çevrimdışı yedeklerini oluşturarak uzlaşma kanıtı buldu.
Saldırı, açıktan yararlanmayı tetikleyen ve kod yürütme için kullanıcı etkileşimi gerektirmeyen bir ek içeren bir mesajla başlar.
Kaspersky raporu, “Herhangi bir kullanıcı etkileşimi olmadan mesaj, kod yürütülmesine yol açan bir güvenlik açığını tetikler” dedi.
“İstismarın içindeki kod, C&C sunucusundan ayrıcalık yükseltme için ek istismarlar içeren birkaç sonraki aşamayı indirir.”
İstismar, ayrıcalıkları yükseltmek için ek yükler alır ve uzak bir sunucudan tam özellikli bir gelişmiş kalıcı tehdit (APT) platformu kurar.
Yerleştirilen kötü amaçlı yazılım, kök ayrıcalıklarıyla çalışarak hassas bilgileri ayıklamasına ve indirilen kodu eklenti modülleri olarak yürütmesine olanak tanır. Mikrofon kayıtları, haberci fotoğrafları ve coğrafi konum dahil olmak üzere özel verileri sessizce uzak sunuculara iletir.
İzlerini örtmek için, kötü amaçlı yazılım ilk mesajı siler ve ekten yararlanarak bulaşmanın izlerini siler. Ancak, kötü amaçlı araç setinde kalıcılık olmaması nedeniyle cihaz yeniden başlatıldıktan sonra yeniden bulaşma meydana gelebilir.
Raporda, “Keşfettiğimiz en eski enfeksiyon izleri 2019’da yaşandı. Haziran 2023’te yazı yazıldığı sırada saldırı devam ediyor ve başarılı bir şekilde hedeflenen cihazların en son sürümü iOS 15.7’dir” denildi.
Kaspersky’ye göre, Üçgenleme Operasyonunun kapsamı tam olarak bilinmiyor ancak devam eden saldırılar, iOS 15.7 çalıştıran cihazları hedef aldı.
Apple, iOS 16.5 ve iOS 15.7.6 güncellemesini yayınladığından, iOS’ta sıfır gün güvenlik açıklarının dahil olup olmadığı belirsizliğini koruyor.
Apple iOS ve daha fazlasındaki güvenlik açıkları için yamalar
Apple, kullanıcılarının güvenliğini sağlamak için aşağıdaki güncellemeleri kullanıma sunmuştur:
iOS 16.5.1 ve iPadOS 16.5.1: Bu güncellemeler iPhone 8 ve sonrası, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası ile uyumludur.
iOS 15.7.7 ve iPadOS 15.7.7: Bu güncellemeler iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch ile uyumludur (7. nesil).
macOS Ventura 13.4.1, macOS Monterey 12.6.7 ve macOS Big South 11.7.8.
watchOS 9.5.2: Bu güncelleme, Apple Watch Series 4 ve sonraki sürümleri için mevcuttur.
watchOS 8.8.1: Bu güncelleme Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7 ve SE için mevcuttur.
Safari 16.5.1: Bu güncelleme, macOS Monterey çalıştıran Mac’ler için geçerlidir.