ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), CVE-2025-24200 olarak izlenen ve hedeflenen saldırılarda aktif olarak sömürülen Apple iOS ve iPados’ta kritik bir sıfır günlük güvenlik açığı hakkında acil bir uyarı yayınladı.
Apple’ın USB kısıtlı modunda bir yetkilendirme baypası olan kusur, kilitli cihazlarda güvenlik korumalarını devre dışı bırakmak için fiziksel erişimi olan saldırganların potansiyel olarak hassas verileri ortaya çıkarmasını sağlar.
Güvenlik açığı detayları ve sömürü
CWE-863 (yanlış yetkilendirme) altında kataloglanan CVE-2025-24200, USB kısıtlı modun durum yönetiminde ikamet ediyor-iOS 11.4.1’de bir saatten fazla bir süre boyunca USB iletişimini engellemek için iOS 11.4.1’de tanıtılan bir güvenlik özelliği, bir saatten fazla bir süre boyunca kilitli kalırsa .
Bu kusurdan yararlanan saldırganlar, bu kısıtlamaları atlayarak tipik olarak kolluk kuvvetleri veya kötü niyetli aktörler tarafından kullanılan veri çıkarma araçlarına yetkisiz erişim sağlayabilir.
Apple, güvenlik açığının yüksek değerli bireylere yönelik “son derece sofistike” saldırılarda kullanıldığını doğruladı, ancak tehdit aktörleri hakkındaki özellikler açıklanmadı.
İstismar, cihaza fiziksel erişim gerektirir ve siber-fiziksel bir saldırı vektörü olarak sınıflandırır. Toronto Üniversitesi vatandaş laboratuvarından Bill Marczak da dahil olmak üzere güvenlik araştırmacıları kusuru tanımladı ve Apple’a bildirdi.
Citizen Lab, devlet destekli grupların sömürünün arkasında olabileceğini gösteren gelişmiş gözetim kampanyalarını ortaya çıkarma geçmişine sahiptir.
Etkilenen cihazlar ve hafifletme
Güvenlik açığı, aşağıdakileri içeren çok çeşitli elma cihazlarını etkiler:
- iPhone Xs ve sonraki modeller
- iPad Pro 12.9 inç (2. nesil ve daha sonra)
- iPad Air (3. nesil ve daha sonra)
- iPad Mini (5. nesil ve daha sonra)
Apple, eski modeller için IOS 18.3.1, iPados 18.3.1 ve iPados 17.7.5 aracılığıyla 10 Şubat 2025’te acil durum yamalarını yayınladı.
CISA, kullanıcılara 5 Mart 2025’ten önce sorunu düzeltmelerini tavsiye ederek, bilinen sömürülen güvenlik açıkları kataloğuna güvenlik açığını ekledi.
Apple, istismarları belirli gözetim satıcılarıyla ilişkilendirmese de, sofistike, Pegasus casus yazılımı tarihsel olarak benzer güvenlik açıklarından yararlanan NSO Group gibi firmalar tarafından kullanılan taktiklerle uyumludur.
Şirketin şeffaflık raporu, araçlarının 31 ülkede 54 hükümet müşterisine satıldığını ve gazetecilere, aktivistlere ve politikacılara karşı kötüye kullanım endişelerini dile getirdiğini belirtiyor.
Öneriler
Kullanıcılar en son iOS/iPados güncellemelerini hemen ayarlar> Genel> Yazılım Güncellemesi aracılığıyla yüklemeli ve otomatik güncellemeleri etkinleştirmelidir. Hassas işlemler için Apple cihazlarına bağımlı kuruluşlar, yetkisiz erişimi caydırmak için fiziksel güvenlik protokollerini zorlamalıdır.