Hoy, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ordenó a las agencias federales que aborden tres fallas de día cero recientemente parcheadas que afectan a iPhones, Mac e iPads que se sabe que son explotados en ataques.
Los errores de seguridad se rastrean como CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373, todos encontrados en el motor del navegador WebKit.
Permiten a los atacantes escapar de la caja de arena del navegador, acceder a información confidencial en el dispositivo comprometido y lograr la ejecución de código arbitrario después de una explotación exitosa.
«Apple está al tanto de un informe de que este problema puede haber sido explotado activamente», dijo la compañía al describir las fallas.
Los tres días cero se abordaron en macOS Ventura 13.4, iOS y iPadOS 16.5, tvOS 16.5, watchOS 9.5 y Safari 16.5 con comprobaciones de límites mejoradas, validación de entrada y administración de memoria.
La lista completa de dispositivos afectados es bastante extensa e incluye lo siguiente:
- iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación), iPod touch (7.ª generación) y iPhone 8 y posteriores
- iPad Pro (todos los modelos), iPad Air 3.ª generación y posterior, iPad 5.ª generación y posterior, y iPad mini 5.ª generación y posterior
- Macs con macOS Big Sur, Monterey y Ventura
- Apple Watch Series 4 y versiones posteriores
- Apple TV 4K (todos los modelos) y Apple TV HD
Probablemente explotado en ataques de spyware respaldados por el estado
Aunque Apple no ha proporcionado detalles específicos sobre los ataques en los que se ha abusado de los errores, sí reveló que CVE-2023-32409 fue reportado por Clément Lecigne del Grupo de Análisis de Amenazas de Google y Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional.
Los dos investigadores y sus respectivas organizaciones divulgan con frecuencia información sobre campañas patrocinadas por el estado que explotan vulnerabilidades de día cero para instalar spyware de vigilancia en los dispositivos de políticos, periodistas, disidentes y otras personas en ataques altamente dirigidos.
Por ejemplo, revelaron en marzo detalles sobre dos campañas recientes que utilizan complejas cadenas de exploits de Android, iOS y Chrome para instalar spyware mercenario, una de ellas una falla de derivación de Samsung ASLR sobre la que CISA advirtió el viernes.
Fecha límite del parche del 12 de junio
De acuerdo con la directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2022, las Agencias Federales del Poder Ejecutivo Civil (FCEB) deben aplicar parches a sus sistemas para todos los errores de seguridad enumerados en el catálogo de vulnerabilidades explotadas conocidas de CISA.
Con la actualización de hoy, las agencias FCEB deben proteger sus dispositivos iOS, iPadOS y macOS antes del 12 de junio de 2023.
Aunque está dirigido principalmente a las agencias federales de los Estados Unidos, se recomienda encarecidamente que las empresas privadas también den alta prioridad a la corrección de las vulnerabilidades contenidas en la lista KEV de errores explotados en los ataques.
«Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal», dijo CISA el lunes.
En abril, también se advirtió a las agencias federales que protegieran los iPhones y Macs en sus redes contra otro par de fallas de seguridad de iOS y macOS reportadas por investigadores de seguridad de Google TAG y Amnistía Internacional.
Fuente: https://www.bleepingcomputer.com
