Citizen Lab ve Google’ın Tehdit Analiz Grubu (TAG) ile birlikte çalışan güvenlik araştırmacıları bugün, Apple tarafından perşembe günü yamalanan üç sıfır gün uygulamasının, Cytrox’un Predator casus yazılımını yüklemek amacıyla bir istismar zincirinin parçası olarak kötüye kullanıldığını ortaya çıkardı.
Mayıs ve Eylül 2023 arasında saldırganlar, sahte SMS ve WhatsApp mesajları kullanarak saldırılarda hatalardan (CVE-2023-41991, CVE-2023-41993 ve CVE-2023-41993) yararlanarak eski Mısırlı milletvekili Ahmed Eltantawy’yi hedef aldı. Mısır’da 2024’teki başkanlık seçimine katılacağız.
Citizen Lab, “Ağustos ve Eylül 2023’te Eltantawy’nin Vodafone Mısır mobil bağlantısı, ağ enjeksiyonu yoluyla hedefleme için ısrarla seçildi” dedi.
“Eltantawy, HTTPS kullanmayan belirli web sitelerini ziyaret ettiğinde, Vodafone Mısır ağının sınırına kurulan bir cihaz, telefonuna Cytrox’un Predator casus yazılımını bulaştırmak için onu otomatik olarak kötü amaçlı bir web sitesine yönlendirdi.”
Saldırganların iOS cihazlarda sıfır gün açığı, kötü amaçla hazırlanmış web sayfalarını kullanarak Safari’de ilk uzaktan kod yürütme (RCE) için CVE-2023-41993’ü, imza doğrulamasını atlamak için CVE-2023-41991 hatasını ve CVE-2023-‘ü kullandı. Çekirdek ayrıcalığının yükseltilmesi için 41992.
Kötüye kullanım zinciri, yeniden yönlendirme sonrasında otomatik olarak tetiklendi, casus yazılım implantasyonunun tehlikeye atılan cihaza yüklenip yüklenmeyeceğini seçmek için tasarlanmış kötü amaçlı bir ikili dosya dağıtıldı ve çalıştırıldı.
Chrome sıfır gün casus yazılım yüklemek için de kullanılıyor
Google TAG ayrıca saldırganların Mısır’daki Android cihazlara Predator casus yazılımını bırakmak için ayrı bir yararlanma zinciri kullandığını ve uzaktan kod yürütme elde etmek için sıfır gün olarak 5 Eylül’de yamalanan bir Chrome hatası olan CVE-2023-4762’yi kullandığını gözlemledi.
Google TAG’dan Maddie Stone, “Bu hata, bir güvenlik araştırmacısı tarafından Chrome Güvenlik Açığı Ödül Programına ayrıca bildirilmişti ve 5 Eylül’de yamalanmıştı. Intellexa’nın da daha önce bu güvenlik açığını 0 günlük olarak kullandığını değerlendiriyoruz.” dedi.
Apple’ın Güvenlik Mühendisliği ve Mimarisi Ekibi bugün onaylandı iOS Kilitleme Modunun saldırıyı engelleyebileceğini söyledi.
Citizen Lab, risk altındaki tüm Apple kullanıcılarını Apple’ın acil durum güvenlik güncellemelerini yüklemeye ve bu istismar zincirinden yararlanan olası saldırıları engellemek için Kilitleme Modu’nu etkinleştirmeye çağırdı.
Citizen Lab, “Mısır’ın Cytrox’un Predator casus yazılımının bilinen bir müşterisi olduğu ve casus yazılımın fiziksel olarak Mısır’da bulunan bir cihazdan ağ enjeksiyonu yoluyla teslim edildiği göz önüne alındığında, ağ enjeksiyonu saldırısını büyük bir güvenle Mısır hükümetine atfediyoruz” diye ekledi.
Citizen Lab güvenlik araştırmacıları, bu ayın başlarında acil güvenlik güncellemelerinde Apple tarafından düzeltilen diğer iki sıfır günü (CVE-2023-41061 ve CVE-2023-41064) daha açığa çıkardı; başka bir sıfır tıklama istismar zincirinin (BLASTPASS olarak adlandırılan) bir parçası olarak kötüye kullanıldı. Tamamen yamalı iPhone’lara NSO Group’un Pegasus casus yazılımını bulaştırın.
Bu yılki saldırılarda Apple’ın 16 sıfır günü istismar edildi
Apple, Perşembe günü iOS 16.7 ve 17.0.1’deki üç sıfır günü, sertifika doğrulama sorununu ele alarak ve iyileştirilmiş kontroller yoluyla düzeltti.
Etkilenen cihazların tam listesi çok çeşitli eski ve yeni cihaz modellerini içerir:
- iPhone 8 ve sonrası
- iPad mini 5. nesil ve sonrası
- MacOS Monterey ve daha yenisini çalıştıran Mac’ler
- Apple Watch Series 4 ve sonraki modeller
Apple, Ocak 2023’ten bu yana müşterilerini hedef alan saldırılarda istismar edilen toplam 16 sıfır gün sorununu ele aldı: