Bugün, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), federal kurumlara saldırılarda istismar edildiği bilinen iPhone’ları, Mac’leri ve iPad’leri etkileyen yakın zamanda yamalanan üç sıfır gün kusurunu ele alma talimatı verdi.
Güvenlik hataları, tümü WebKit tarayıcı motorunda bulunan CVE-2023-32409, CVE-2023-28204 ve CVE-2023-32373 olarak izlenir.
Saldırganların tarayıcı sanal alanından kaçmasına, güvenliği ihlal edilmiş cihazdaki hassas bilgilere erişmesine ve başarılı bir istismarın ardından rastgele kod yürütmesine olanak tanırlar.
Şirket, kusurları açıklarken “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkındadır” dedi.
Üç sıfır gün, geliştirilmiş sınır kontrolleri, giriş doğrulama ve bellek yönetimi ile macOS Ventura 13.4, iOS ve iPadOS 16.5, tvOS 16.5, watchOS 9.5 ve Safari 16.5’te ele alındı.
Etkilenen cihazların tam listesi oldukça kapsamlıdır ve aşağıdakileri içerir:
- iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil), iPod touch (7. nesil) ve iPhone 8 ve sonrası
- iPad Pro (tüm modeller), iPad Air 3. nesil ve sonrası, iPad 5. nesil ve sonrası ve iPad mini 5. nesil ve sonrası
- macOS Big Sur, Monterey ve Ventura çalıştıran Mac’ler
- Apple Watch Series 4 ve sonrası
- Apple TV 4K (tüm modeller) ve Apple TV HD
Büyük olasılıkla devlet destekli casus yazılım saldırılarında istismar edildi
Apple, açıkların kötüye kullanıldığı saldırılarla ilgili ayrıntılı bilgi vermese de, CVE-2023-32409’un Google’ın Tehdit Analiz Grubu’ndan Clément Lecigne ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill tarafından rapor edildiğini ortaya çıkardı.
İki araştırmacı ve ilgili kuruluşları, yüksek hedefli saldırılarda politikacıların, gazetecilerin, muhaliflerin ve diğer kişilerin cihazlarına gözetleme casus yazılımları yüklemek için sıfırıncı gün güvenlik açıklarından yararlanan devlet destekli kampanyalar hakkında sık sık bilgi ifşa ediyor.
Örneğin, Mart ayında, paralı casus yazılım yüklemek için Android, iOS ve Chrome açıklarının karmaşık istismar zincirlerini kullanan iki yeni kampanyanın ayrıntılarını açıkladılar; bunlardan biri, CISA’nın Cuma günü uyardığı bir Samsung ASLR baypas kusuruydu.
12 Haziran yama son tarihi
Kasım 2022’de yayınlanan bağlayıcı operasyonel direktif (BOD 22-01) uyarınca, Federal Sivil Yürütme Şube Ajansları (FCEB), CISA’nın Bilinen Yararlanılan Güvenlik Açıkları kataloğunda listelenen tüm güvenlik hataları için sistemlerine yamalar uygulamalıdır.
Bugünkü güncellemeyle, FCEB ajanslarının 12 Haziran 2023’e kadar iOS, iPadOS ve macOS cihazlarını güvenceye almaları gerekmektedir.
Öncelikle ABD federal kurumlarını hedef alsa da, özel şirketlerin de saldırılarda yararlanılan hatalara ilişkin KEV listesinde yer alan güvenlik açıklarını düzeltmeye yüksek öncelik vermesi şiddetle tavsiye edilir.
CISA Pazartesi günü yaptığı açıklamada, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur.”
Nisan ayında federal kurumlar, Google TAG ve Uluslararası Af Örgütü güvenlik araştırmacıları tarafından bildirilen başka bir çift iOS ve macOS güvenlik açığına karşı ağlarındaki iPhone ve Mac’leri korumaları konusunda da uyarıldı.