Apple, casus yazılımları gizlice dağıtmak için kullanılan sıfır gün güvenlik açıklarını düzeltir (CVE-2023-32435)
Apple, vahşi ortamda kullanılan üç sıfır gün güvenlik açığı (CVE-2023-32434, CVE-2023-32435, CVE-2023-32439) için yamalar yayınladı.
İlk ikisi Kaspersky araştırmacıları Georgy Kucherin, Leonid Bezvershenko ve Boris Larin tarafından TriangleDB adını verdikleri iOS casus yazılım implantını keşfetmelerinin ardından, üçüncüsü ise anonim bir araştırmacı tarafından bildirildi.
Güvenlik açıkları (CVE-2023-32434, CVE-2023-32435, CVE-2023-32439)
CVE-2023-32439 bir tip karışıklığı WebKit tarayıcı motorunda, güvenlik açığı bulunan cihazın kötü amaçlarla oluşturulmuş web içeriğini işlemesi tarafından tetiklenebilecek ve rastgele kod yürütülmesine yol açabilecek sorun. “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında” dedi, ancak saldırı hakkında ek ayrıntı vermedi.
CVE-2023-32434 bir tamsayı taşması Bir uygulamanın çekirdek ayrıcalıklarıyla rastgele kod yürütmesine izin veren, çekirdeği etkileyen güvenlik açığı. CVE-2023-32435, WebKit’te kod yürütülmesine yol açabilecek bir bellek bozulması sorunudur.
Apple, Kaspersky’nin bulgularına atıfta bulunarak, bu son iki güvenlik açığının “iOS 15.7’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğini” söylüyor.
Casus yazılım implantı
Haziran ayının başında, Kaspersky güvenlik araştırmacıları açıklığa kavuşmuş kurumsal iOS aygıtlarından bazılarının önceden bilinmeyen casus yazılımlarla dolu olduğu.
Bulaşma, iMessage aracılığıyla gerçekleşti – kurbanlar, kod yürütülmesine izin veren bir güvenlik açığını tetikleyen bir açıktan yararlanma içeren bir ek içeren bir mesaj alır ve bu açıktan yararlanma, bir C2 sunucusundan ek kötü amaçlı yazılım indirir. Son olarak, ilk mesaj ve ekteki istismar silinir.
Enfeksiyonun gerçekleşmesi için kurbanın iMessage’ı açması gerekmez.
“Keşfettiğimiz en eski enfeksiyon izleri 2019’da yaşandı. Haziran 2023’te yazı yazıldığı an itibarıyla saldırı devam ediyor ve başarılı bir şekilde hedeflenen cihazların en son sürümü iOS 15.7’dir” diye eklediler.
Çarşamba günü, casus yazılım hakkında daha fazla ayrıntı paylaştılar.
İmplant […] Saldırganlar, bir çekirdek güvenlik açığından yararlanarak hedef iOS aygıtında kök ayrıcalıkları elde ettikten sonra devreye alınır. [i.e., CVE-2023-32435]. Bellekte dağıtılır, yani cihaz yeniden başlatıldığında implantın tüm izleri kaybolur. Bu nedenle, kurban cihazını yeniden başlatırsa, saldırganların kötü amaçlı bir ek içeren bir iMessage göndererek cihazı yeniden bulaştırması ve böylece tüm istismar zincirini yeniden başlatması gerekir. Yeniden başlatma olmaması durumunda, saldırganlar tarafından bu süre uzatılmadığı sürece, implant 30 gün sonra kendini kaldırır.”
İmplant, dosyaları manipüle etme ve dışarı sızdırma, işlemleri sonlandırma, virüslü cihazın anahtarlık girişlerini alma, cihazın konumunu tam olarak belirleme ve ek modülleri çalıştırma yeteneğine sahiptir.
“TriangleDB’yi analiz ederken, CRConfig sınıfının (implantın yapılandırmasını depolamak için kullanılır) populateWithFieldsMacOSOnly adlı bir yöntemi olduğunu bulduk. Bu yöntem, iOS implantının hiçbir yerinde çağrılmaz; ancak varlığı, macOS cihazlarının da benzer bir implantla hedeflenebileceği anlamına geliyor.”
Cihazlarınızı güncelleyin!
En son Apple güncellemeleri şunları sağlar:
Kullanıcılar, cihazlarını mümkün olan en kısa sürede yükseltmelidir.
TriangleDB’nin geniş çapta dağıtılmış olması olası değildir, ancak hedef alınmış olabilecek kişiler arasında olduğunuzdan şüpheleniyorsanız, üçgen_kontrol aracını kullanın. Mobil cihazınızın yedeğini tehlike kanıtı açısından test etmek için Kaspersky tarafından sağlanmıştır.
