CISA, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna kritik bir iOS sıfır tıkalı güvenlik açığı ekledi ve kusurun gazetecilere yönelik hedefli saldırılarda sofistike paralı casus yazılımları tarafından aktif olarak kullanıldığını söyledi.
CVE-2025-43200 olarak izlenen güvenlik açığı, iOS, iPados, macOS, Watchos ve Visionolar dahil olmak üzere birden fazla Apple ürününü etkiler ve saldırganların iCloud bağlantıları aracılığıyla paylaşılan kötü hazırlanmış fotoğraflar veya videolar aracılığıyla herhangi bir kullanıcı etkileşimi olmadan cihazları uzlaştırmasına izin verir.
Sıfır Click Supoit, iCloud bağlantıları aracılığıyla Apple Cihazları Hedefler
Güvenlik açığı, başarılı bir cihaz uzlaşması için hiçbir kullanıcı etkileşimi gerekmediği sıfır tıkanık saldırılara olanak sağladığı için önemli bir güvenlik endişesini temsil eder.
.png
)
CVE-2025-43200, iCloud bağlantıları aracılığıyla paylaşılan içeriği işlerken Apple’ın medya işleme işlevselliğini özellikle hedefler ve geleneksel kullanıcı farkındalığı ve güvenlik önlemlerini atlayan bir saldırı vektörü oluşturur.
CISA, bu güvenlik açığını 16 Haziran 2025’te KEV kataloğuna ekledi ve federal ajanslar için 7 Temmuz 2025 tarihli bir son başvuru tarihi oluşturdu ve tüm kuruluşlar için acil eylem önerdi.
Bu istismarın teknik doğası, mağdurların saldırı sürecinde uzlaşma belirtisi olmadığı için onu özellikle tehlikeli hale getirir.
Kullanıcı tıklamaları veya indirmeler gerektiren geleneksel kötü amaçlı yazılımlardan farklı olarak, bu sıfır tıklatma güvenlik açığı, hedef aygıt kötü amaçlı medya içeriğini işlediğinde otomatik olarak yürütülür.
Saldırı metodolojisi, Apple’ın sağlam güvenlik mimarisini atlayabilen modern paralı casus yazılım operasyonlarının sofistike yeteneklerini göstermektedir.
Citizen Lab araştırmacıları, Paragon Solutions tarafından geliştirilen grafit casus yazılımların, IMessage dağıtım mekanizmaları aracılığıyla en az üç Avrupalı gazeteciyi hedeflemek için CVE-2025-43200’den sömürüldüğünü doğruladılar.
Adli analiz, araştırmacılar tarafından “Saldırgan1” olarak adlandırılan bir saldırgan hesabının, birincil saldırı vektörü olarak Apple’ın mesajlaşma platformunu kullanarak birden fazla hedefe karşı sıfır tıkaç istismarını sistematik olarak kullandığını ortaya koydu.
Onaylanan hedefler arasında Fanpage.it’teki Napoli haber odası başkanı İtalyan gazeteci Ciro Pellegrino ve aynı organizasyondan başka bir gazeteci Francesco Cancellato yer alıyor.
Her iki gazeteciye de 29 Nisan 2025’te Apple Güvenlik Bildirimleri aldı ve onları potansiyel gelişmiş casus yazılım uzlaşmaları konusunda uyardı.
Müteakip adli muayenede, cihazlarında grafit casus yazılım artefaktlarının varlığını doğruladı, bu da başarılı uzlaşma ve potansiyel veri açığa çıkmasını gösterdi.
Meydan okulu cihazların teknik analizi, VPS sağlayıcısı Edis Global’de barındırılan IP Adresi 46.183.184.91 ile ilişkili altyapıya bağlantıları ortaya çıkardı.
Bu sunucu, en az 12 Nisan 2025’e kadar Citizen Lab’ın “Parmak İzi P1” tanımlayıcısını eşleştiren özellikleri korudu ve araştırmacılara saldırıları Paragon’un casus yazılım işlemlerine bağlayan önemli ilişkilendirme kanıtları sağladı.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | iOS, iPados, macOS, Watchos, Visionolar |
| Darbe | Keyfi kod yürütme |
| Önkoşuldan istismar | Patched Apple Cihazları (iOS <18.3.1), iCloud bağlantıları/iMessage etkin |
| CVSS 3.1 puanı | Eleştirel |
Yama mevcut
Apple, iOS 18.3.1’de CVE-2025-43200’ü ele aldı ve grafit casus yazılımları tarafından kullanılan sıfır tıkaç saldırısı vektörünü etkili bir şekilde hafifletti.
Bununla birlikte, daha önce çalışan iOS sürümleri çalıştıran cihazlar, 2025’in başlarında savunmasız kaldı ve tüm Apple ürünlerinde mevcut yazılım sürümlerini sürdürmenin kritik önemini vurguladı.
Şirketin güvenlik bülteni, güvenlik açığının, iCloud paylaşım mekanizmaları aracılığıyla işlenen kötü niyetli hazırlanmış medya dosyaları aracılığıyla keyfi kod yürütülmesine izin verdiğini doğrulamaktadır.
Olay, küresel olarak gazetecileri etkileyen devam eden “casus yazılım krizini” vurgulamaktadır ve paralı gözetim araçlarını giderek daha fazla medya profesyonellerini ve sivil toplum kuruluşlarını hedeflemektedir.
Güvenlik uzmanları, Apple, Meta, WhatsApp veya Google’dan casus yazılım uyarıları alan bireylerin bu uyarıları ciddiye almasını ve Access Now’ın Dijital Güvenlik Yardım Hattı veya Af Örgütü Uluslararası Güvenlik Laboratuvarı gibi kuruluşlardan yardım almasını önermektedir.
Kuruluşlar, bu ve benzeri sofistike saldırı vektörlerine karşı korunmak için, satıcı güvenlik güncellemelerinin uygulanması ve bulut hizmetleri için geçerli bağlayıcı operasyonel direktif 22-01 rehberliğine uymak da dahil olmak üzere CISA’nın önerilen azaltmalarını derhal uygulamalıdır.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri