CISA orders govt agencies to update iPhones, Macs by May 1st
2023/04/10 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、iPhone/Mac/iPad の存在し野放し常態で悪用されている、2つの脆弱性にパッチ適用するよう連邦政府機関に命じた。2022年11月に発行された拘束力のある運用指令 (BOD 22-01) によると、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された全てのセキュリティバグに対して、連邦民間行政機関 (FCEB) はパッチを適用することが求められている。
4月7日 (金) に Apple が対処し、4月10日 (月) に CISA の KEV に追加された2つの欠陥に対して、FCEB機関は 5月1日までに iOS/iPadOS/macOS を保護する必要がある。
1つ目の脆弱性 CVE-2023-28206 は、IOSurfaceAccelerator に存在する境界外書き込みの欠陥であり、悪意を持って細工したアプリを使用する攻撃者が、標的デバイス上のカーネル特権で任意のコード実行する可能性が生じる。
2つ目の脆弱性 CVE-2023-28205 は、WebKit に存在する use after free の欠陥であり、攻撃者のコントロール下にある悪意の Web ページを読み込ませてハッキングした、iPhone/Mac/iPad 上で任意のコード実行に至るものだ。
Apple は、iOS 16.4.1/iPadOS 16.4.1/macOS Ventura 13.3.1/Safari 16.4.1 において、入力検証とメモリ管理を改善することで、上記の2つのゼロデイ脆弱性に対応した。
同社によると、影響を受けるデバイスのリストは非常に広範囲におよび、以下のものが含まれる:
- iPhone 8 以降、
- iPad Pro (全モデル)
- iPad Air 第3世代以降
- iPad 第5世代以降
- iPad mini 第5世代以降
- macOS Ventura を搭載した Mac
これらの2つの脆弱性は、エクスプロイト・チェーンの一部として攻撃に悪用されていることが、Google の Threat Analysis Group (Clément Lecigne) と Amnesty International の Security Lab (Donncha Ó Cearbhaill) により発見された。
この2つの組織が頻繁に報告しているのは、世界中の政治家/ジャーナリスト/反体制派などのリスクの高い人物のデバイスに、ゼロデイ脆弱性を悪用してスパイウェアをインストールする、政府に支援された脅威アクターたちによるキャンペーンである。
Google TAG と Amnesty International は、最近に実施された2つのキャンペーンで悪用された、Android/iOS/Chrome の Zero-Day/N-Day 脆弱性についての詳細情報を共有し、商用スパイウェアが展開されていることを発表した。
今日、CISA が KEV カタログに追加した脆弱性は、高度な標的型攻撃でのみ悪用されたと思わるが、潜在的な攻撃を防ぐために、可能な限り早急にパッチを適用することが推奨されている。
2ヶ月前にも Apple は、脆弱な iPhone/iPad/Mac で OS のクラッシュを誘発し、コードを実行させるために悪用された、WebKit ゼロデイ脆弱性 CVE-2023-23529 に対処している。
Google と Amnesty が公表した、iPhone/Mac の脆弱性を悪用するスパイウェアの動きが、CISA により取り上げられ、KEV リストに追加されました。KEV の定義を考えると、連邦政府内においても被害が発生していたことになりますが、それはそれで怖いことです。よろしければ、CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.