Łatajcie swoje urządzenia! Odkryto dwie grube podatności w urządzeniach z logiem nadgryzionego jabłka.
Apple w trybie błyskawicznym wydało aktualizacje zabezpieczeń, które naprawiają dwie aktywnie wykorzystywane luki dnia zerowego (CVE-2023-28205, CVE-2023-28206) w systemach macOS, iOS i iPadOS.
Błędy zostały zgłoszone przez badaczy Clémenta Lecigne’a z Google Threat Analysis Group (TAG) i Donnchę Ó Cearbhailla, szefa Laboratorium Bezpieczeństwa Amnesty International. Wykorzystane w tandemie pozwalają osiągnąć pełne włamanie do urządzenia – z prawdopodobnym (choć niepotwierdzonym) celem zainstalowania spyware na urządzeniach docelowych.
Apple twierdzi, że błędy są łatane na urządzeniach z następującej listy:
- iPhone 6s (wszystkie modele),
- iPhone 7 (wszystkie modele),
- iPhone SE (1 generacji),
- iPad Air2,
- iPad mini (4 generacji),
- iPod touch (7 generacji)
- oraz na komputerach Mac z systemem macOS Monterey i Big Sur.
Sprawa jest tak poważna, że Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury dodała obie luki do swojego katalogu znanych wykorzystanych luk KEV i żąda, by amerykańskie federalne cywilne agencje wykonawcze zastosowały aktualizacje Apple najpóźniej do 1 maja.
Szczegóły podatności CVE-2023-28205 oraz CVE-2023-28206
CVE-2023-28205 to problem w silniku przeglądarki WebKit, z którego korzysta Safari i wszystkie przeglądarki internetowe w systemach iOS i iPadOS. Luka może zostać wywołana przez złośliwie spreparowaną zawartość internetową (stronę) i doprowadzić do wykonania dowolnego kodu na urządzeniu. CVE-2023-28206 z kolei to problem z zapisem poza zakresem w IOSurfaceAccelerator, który może zostać wykorzystany przez złośliwą aplikację do wykonania dowolnego kodu z uprawnieniami jądra.
Pierwszy błąd może być użyty do przeprowadzenia ataku typu drive-by, zero-click, skutkującego cichą instalacją złośliwego oprogramowania na urządzeniu docelowym. Drugi natomiast pozwala atakującym uciec z piaskownicy Safari (tj. zwiększyć uprawnienia) i uzyskać pełny dostęp do systemu.
Powyższe daje atakującym możliwość ominięcia problemu z blokadą instalacji aplikacji spoza App Store („bezpiecznego ogrodu dla aplikacji”).
Dostępne aktualizacje
Od piątku (7 kwietnia) Apple wydał aktualizacje zabezpieczeń dla nowszych wersji systemu macOS (13.3.1), iOS i iPad OS (16.4.1), a następnie szybko przeportował poprawki w celu naprawienia luk w starszych wersjach (macOS 12.6.5 i 11.7.6 i iOS/iPad 15.7.5).
UWAGA! Użytkownicy macOS Monterey i Big Sur muszą zaimplementować oferowaną aktualizację systemu operacyjnego ORAZ osobno aktualizację Safari, aby całkowicie pozbyć się obu błędów.
Exploit na wolności
Niemiecki badacz bezpieczeństwa i haker urządzeń Apple Linus Henze opublikował już PoC dla podatności CVE-2023-28206, która wyzwala lukę i powinna doprowadzić do możliwej do wykorzystania paniki jądra (kernel panic).
Czy jest się czego obawiać?
Niestety nie są dostępne żadne szczegółowe informacje na temat ataków przeprowadzonych z wykorzystaniem luk CVE-2023-28205 i CVE-2023-28206.
Fakt, że w odkrycie zaangażowane było Laboratorium Bezpieczeństwa Amnesty International, wskazuje na to, iż luki zostały wykorzystane w ograniczonych atakach w celu zainstalowania oprogramowania szpiegującego na urządzeniach należących do obrońców praw człowieka. Obie wspomniane wcześniej organizacje często donoszą o wspieranych przez rząd cyberprzestępcach, stosujących podobne taktyki i wykorzystujących luki w zabezpieczeniach do instalowania oprogramowania szpiegującego na urządzeniach osób wysokiego ryzyka na całym świecie, takich jak dziennikarze, politycy czy dysydenci.
Niedawno podzieliły się na przykład szczegółami dotyczącymi kampanii wykorzystujących dwa łańcuchy exploitów, wycelowanych w błędy Androida, iOS i Chrome w celu zainstalowania komercyjnego złośliwego oprogramowania monitorującego.
Warto wspomnieć, że w połowie lutego Apple załatał inny zero-day w WebKit (CVE-2023-23529), atakowany w celu wywołania awarii i wykonania kodu na podatnych na ataki urządzeniach iOS, iPadOS i macOS.
Wszystkim użytkownikom komputerów Mac, iPhone’ów i iPadów zalecamy jak najszybszą aktualizację swoich systemów operacyjnych.