CISA KEV 警告 23/09/11:Apple のゼロデイ CVE-2023-41064 など

CISA Adds Recently Discovered Apple Zero-Days To Known Exploited Vulnerabilities Catalog

2023/09/11 SecurityAffairs −−− 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、iMessage ゼロクリック攻撃で悪用される脆弱性 BLASTPASS を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。これらのゼロデイ脆弱性 CVE-2023-41064/CVE-2023-41061 は、Image I/O および Wallet フレームワークに存在し、iPhone に NSO Group の Pegasus スパイウェアをインストールするために悪用されていた。


脆弱性 CVE-2023-41064 は、Citizen Lab の研究者により報告されたバッファ・オーバーフローの欠陥である。Apple は、メモリ処理を改善することで、この欠陥に対処した。同社のアドバイザリーには、「悪意を持って細工された画像を処理すると、任意のコードが実行される可能性がある。Apple は、この問題が活発に悪用されている可能性があるという報告を認識している」と記されている。

脆弱性 CVE-2023-41061 は、Apple が発見した不十分な検証に起因する欠陥である。Apple は、改善されたロジックで、この欠陥に対処している。攻撃者はデバイスを騙して、特別に細工された添付ファイルを処理させることで、任意のコードを実行できる。同社のアドバイザリーには、「悪意を持って細工された添付ファイルは、任意のコード実行を引き起こす可能性がある。Apple は、この問題が積極的に悪用された可能性があるという報告を認識している」と記されている。

Apple は、macOS Ventura 13.5.2/iOS 16.6.1/iPadOS 16.6.1/watchOS 9.6.2 のリリースで、この欠陥に対処した。

最近のことだが、積極的に悪用されているゼロデイ脆弱性により、Apple デバイスが Pegasus スパイウェアに感染していることを、Citizen Lab の研究者たちが報告している。その内容は、iOS 16.6 を実行している iPhone への攻撃で使用される BLASTPASS エクスプロイトの一部と、上記の2件の脆弱性が連鎖しているというものだ。

Citizen Lab の報告によると、このエクスプロイトは、ワシントン DC を拠点とする国際的な市民団体の個人デバイスに、Pegasus スパイウェアをインストールするために使用されている。そして、専門家たちは、攻撃者の iMessage アカウントから被害者に送信された悪意の画像を含む PassKit の、添付ファイルが悪用されたと報告している。

Citizen Lab は、「先週に、この市民団体に雇用されている個人のデバイスをチェックしていたところ、 NSO Group の傭兵スパイウェア Pegasus を配信するために使用されている、ゼロクリックの脆弱性を発見した。このエクスプロイト・チェーンは、iOS 16.6 を実行している iPhone を、被害者による操作を必要とせずに、危険にさらすことが可能だ」と述べている。

今後において、研究者たちは、BLASTPASS エクスプロイト・チェーンに関する技術的な詳細を公表する予定だという。

Citizen Lab は、「iPhone ユーザーに対しては、直ちにデバイスをアップデートすることが推奨される。高度に洗練されたエクスプロイトやスパイウェアを使用する脅威アクターにより、市民社会が継続的に狙われている」と指摘している。

BOD (Binding Operational Directive) 22-01 には、「既知の脆弱性が悪用されるという、深刻なリスクを軽減する必要がある。したがって FCEB 機関は、カタログの欠陥を悪用した攻撃からネットワークを守るために、期日までに特定された脆弱性に対処しなければならない」と記されている。

CISA は連邦政府機関に対して、2023年10月2日までに、この欠陥を修正するよう命じている。専門家たちは、民間組織に対しても、カタログを見直してインフラの脆弱性に対処することを推奨している。

Apple は、2023年に入ってから、13件の積極的に悪用されるゼロデイ脆弱性にパッチを適用している:

  • 2023 年 7 月 – CVE-2023-37450、CVE-2023-38606。
  • 2023 年 6 月 – CVE-2023-32434、CVE-2023-32435、CVE-2023-32439。
  • 2023 年 5 月 – CVE-2023-32409、CVE-2023-28204、CVE-2023-32373。
  • 2023 年 4 月 – CVE-2023-28206、CVE-2023-28205。
  • 2023 年 2 月 – CVE-2023-23529。

Android と iPhone を比べると、やはり iPhone の方が安全そうだと感じます。したがって、セキュリティを重視する人は iPhoene を使うようになり、そこを Pegasus などのスパイウェアが狙うという構図が見えてきまし。よろしければ、Pegasus で検索と、Spyware で検索を、ご利用ください。