Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlara iPhone’ları, Mac’leri ve iPad’leri hacklemek için vahşi ortamda aktif olarak kullanılan iki güvenlik açığını düzeltme emri verdi.
Kasım 2022’de yayınlanan bağlayıcı bir operasyonel yönergeye (BOD 22-01) göre, Federal Sivil Yürütme Şube Ajansları (FCEB) kurumlarının, CISA’nın Bilinen Yararlı Güvenlik Açıkları kataloğuna eklenen tüm güvenlik açıklarına karşı sistemlerini yamalamaları gerekmektedir.
FCEB ajanslarının artık Apple tarafından Cuma günü ele alınan ve CISA’nın saldırılarda yararlanılan hatalar listesine eklenen iki kusura karşı 1 Mayıs 2023’e kadar iOS, iPadOS ve macOS cihazlarını güvence altına alması gerekiyor Pazartesi gününde.
İlk hata (CVE-2023-28206), saldırganların hedeflenen cihazlarda çekirdek ayrıcalıklarıyla rasgele kod yürütmek için kötü amaçlarla oluşturulmuş uygulamaları kullanmasına izin verebilecek bir IOSurfaceAccelerator sınır dışı yazmadır.
İkincisi (CVE-2023-28205), tehdit aktörlerinin, saldırganların kontrolü altındaki kötü amaçlı web sayfalarını yüklemeleri için hedefleri kandırdıktan sonra saldırıya uğramış iPhone’lar, Mac’ler veya iPad’lerde kötü amaçlı kod yürütmesine olanak tanıyan ücretsiz bir zayıflıktan sonra WebKit kullanımıdır.
Apple, giriş doğrulama ve bellek yönetimini iyileştirerek iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 ve Safari 16.4.1’deki iki sıfır günü ele aldı.
Şirket, etkilenen cihazların listesinin oldukça geniş olduğunu ve şunları içerdiğini söyledi:
- iPhone 8 ve sonrası,
- iPad Pro (tüm modeller),
- iPad Air 3. nesil ve sonrası,
- iPad 5. nesil ve sonrası,
- iPad mini 5. nesil ve sonrası,
- ve macOS Ventura çalıştıran Mac’ler.
Açıklar, Google’ın Tehdit Analizi Grubu ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı tarafından açıklardan yararlanma zincirinin bir parçası olarak saldırılarda kullanılırken keşfedildi.
Google’ın Tehdit Analizi Grubu’ndan Clément Lecigne ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill, hataları bildirdikleri için Apple tarafından kredilendirildi.
Her iki kuruluş da, dünya çapında politikacılar, gazeteciler ve muhalifler gibi yüksek riskli kişilerin cihazlarına casus yazılım yüklemek için sıfırıncı gün güvenlik açıklarından yararlanıldığı, devlet destekli tehdit aktörlerinin kampanyalarını sık sık rapor ediyor.
Google TAG ve Uluslararası Af Örgütü, ticari casus yazılım dağıtmaya yönelik son iki kampanyada kötüye kullanılan diğer Android, iOS ve Chrome sıfır günlük ve n günlük güvenlik açıkları hakkında daha fazla bilgi paylaştı.
Bugün CISA tarafından KEV kataloğuna eklenen güvenlik açıkları muhtemelen yalnızca yüksek hedefli saldırılarda kullanılmış olsa da, olası saldırıları önlemek için mümkün olan en kısa sürede yama yapılması önerilir.
İki ay önce Apple, işletim sistemi çökmelerini tetiklemek ve savunmasız iPhone’lar, iPad’ler ve Mac’lerde kod yürütme elde etmek için istismar edilen başka bir WebKit sıfır gün güvenlik açığını (CVE-2023-23529) ele aldı.