Hari ini, Cybersecurity & Infrastructure Security Agency (CISA) AS memerintahkan agen federal untuk mengatasi tiga kelemahan zero-day yang baru-baru ini ditambal yang memengaruhi iPhone, Mac, dan iPad yang diketahui dieksploitasi dalam serangan.
Bug keamanan dilacak sebagai CVE-2023-32409, CVE-2023-28204, dan CVE-2023-32373, semuanya ditemukan di mesin browser WebKit.
Mereka memungkinkan penyerang untuk keluar dari kotak pasir browser, mengakses informasi sensitif pada perangkat yang disusupi, dan mencapai eksekusi kode arbitrer setelah eksploitasi berhasil.
Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif dikatakan saat menjelaskan kekurangannya.
Tiga zero-day ditangani di macOS Ventura 13.4, iOS dan iPadOS 16.5, tvOS 16.5, watchOS 9.5, dan Safari 16.5 dengan pemeriksaan batas yang ditingkatkan, validasi input, dan manajemen memori.
Daftar lengkap perangkat yang terpengaruh cukup luas, dan mencakup yang berikut ini:
- iPhone 6s (semua model), iPhone 7 (semua model), iPhone SE (generasi ke-1), iPad Air 2, iPad mini (generasi ke-4), iPod touch (generasi ke-7), dan iPhone 8 dan lebih baru
- iPad Pro (semua model), iPad Air generasi ke-3 dan lebih baru, iPad generasi ke-5 dan lebih baru, dan iPad mini generasi ke-5 dan lebih baru
- Mac menjalankan macOS Big Sur, Monterey, dan Ventura
- Apple Watch Seri 4 dan lebih baru
- Apple TV 4K (semua model) dan Apple TV HD
Kemungkinan dieksploitasi dalam serangan spyware yang didukung negara
Meskipun Apple belum memberikan detail spesifik tentang serangan di mana bug telah disalahgunakan, terungkap bahwa CVE-2023-32409 dilaporkan oleh Clément Lecigne dari Grup Analisis Ancaman Google dan Donncha Ó Cearbhaill dari Lab Keamanan Amnesty International.
Kedua peneliti dan organisasi masing-masing sering mengungkapkan informasi tentang kampanye yang disponsori negara yang mengeksploitasi kerentanan zero-day untuk memasang spyware pengawasan pada perangkat politisi, jurnalis, pembangkang, dan individu lain dalam serangan yang sangat tertarget.
Misalnya, mereka mengungkapkan detailnya di bulan Maret dua kampanye baru-baru ini menggunakan rantai eksploit kompleks dari kelemahan Android, iOS, dan Chrome untuk menginstal spyware bayaran, salah satunya adalah kelemahan bypass Samsung ASLR CISA memperingatkan tentang hari jumat.
Batas waktu tambalan 12 Juni
Sesuai dengan petunjuk operasional yang mengikat (BOD 22-01) dikeluarkan pada November 2022, Agen Cabang Eksekutif Sipil Federal (FCEB) harus menerapkan tambalan ke sistem mereka untuk semua bug keamanan yang terdaftar di CISA Kerentanan Tereksploitasi yang Diketahui katalog.
Dengan pembaruan hari ini, agensi FCEB diwajibkan untuk mengamankan perangkat iOS, iPadOS, dan macOS mereka sebelum 12 Juni 2023.
Meskipun terutama ditargetkan pada agen federal AS, sangat disarankan agar perusahaan swasta juga memberikan prioritas tinggi untuk memperbaiki kerentanan yang terdapat dalam daftar KEV bug yang dieksploitasi dalam serangan.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku dunia maya berbahaya dan menimbulkan risiko signifikan bagi perusahaan federal,” kata CISA pada hari Senin.
Pada bulan April, agen federal juga diperingatkan untuk mengamankan iPhone dan Mac di jaringan mereka sepasang kelemahan keamanan iOS dan macOS lainnya dilaporkan oleh peneliti keamanan Google TAG dan Amnesty International.
