Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bugün federal kurumlara mobil cihazlara ticari casus yazılım yüklemek için yapılan son saldırılarda sıfır gün olarak istismar edilen güvenlik açıklarını düzeltme emri verdi.
Google’ın Tehdit Analizi Grubu’nun (TAG) kısa süre önce açıkladığı gibi, söz konusu kusurlar, Android ve iOS kullanıcılarını hedefleyen yüksek hedefli iki ayrı kampanyadaki çeşitli istismar zincirlerinin bir parçası olarak kötüye kullanıldı.
Kasım 2022’de tespit edilen ilk saldırı dizisinde, tehdit aktörleri iOS ve Android cihazları tehlikeye atmak için ayrı istismar zincirleri kullandı.
Bir ay sonra, güncel Samsung İnternet Tarayıcısı sürümlerini çalıştıran Samsung Android telefonlarını hedeflemek için birden fazla 0 gün ve n günden oluşan karmaşık bir zincir kullanıldı.
Son yük, çok sayıda sohbet ve tarayıcı uygulamasından verilerin şifresini çözebilen ve çıkarabilen Android için bir casus yazılım paketiydi.
Google TAG’den Clément Lecigne’ye göre, her iki kampanya da yüksek oranda hedeflenmişti ve saldırganlar “düzeltme sürümü ile son kullanıcı cihazlarına tam olarak dağıtıldığı zaman arasındaki büyük zaman farkından yararlandı”.
Google TAG’ın keşfi, saldırılarda kullanılan alan adları ve altyapıyla ilgili ayrıntıları da yayınlayan Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı tarafından paylaşılan bulgulardan kaynaklandı.
CISA bugün, iki casus yazılım kampanyasında kullanılan on güvenlik açığından beşini Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna ekledi:
Siber güvenlik kurumu, Federal Sivil Yürütme Şube Ajanslarına (FCEB) kurumlara, savunmasız mobil cihazları bu beş güvenlik açığını hedef alacak potansiyel saldırılara karşı yama yapmaları için 20 Nisan’a kadar üç hafta süre verdi.
Kasım 2021’de yayınlanan BOD 22-01 bağlayıcı operasyonel yönergesine göre FCEB ajansları, ağlarını CISA’nın saldırılarda kullanıldığı bilinen güvenlik açıkları listesine eklenen tüm hatalara karşı güvenceye almalıdır.
BOD 22-01 yönergesi yalnızca FCEB ajansları için geçerli olsa da, CISA bugün tüm kuruluşları istismar girişimlerini engellemek için bu hataları paketlemeye öncelik vermeye şiddetle çağırdı.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sıklıkla saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur.”