Američka agencija za kibernetičku bezbjednost i infrastrukturnu sigurnost dodala je niz od šest nedostataka u svoj katalog poznatih eksploatisanih ranjivosti (KEV) navodeći dokaze o aktivnoj eksploataciji.
Ovo uključuje tri ranjivosti koje je Apple zakrpio ove sedmice (CVE-2023-32434, CVE-2023-32435 i CVE-2023-32439), dvije greške u VMware-u (CVE-2023-20867 i CVE-2023-208) i jedan nedostatak koji utiče na Zyxel uređaje (CVE-2023-27992).
Za CVE-2023-32434 i CVE-2023-32435, od kojih oba dozvoljavaju izvršavanje koda, kaže se da su iskorišćeni kao Zero-Day za implementaciju špijunskog softvera u sklopu višegodišnje kampanje kibernetičke špijunaže koja je počela 2019. godine.
Nazvana Operacija Triangulation, aktivnost kulminira uvođenjem TriangleDB-a koji je dizajniran za prikupljanje širokog spektra informacija sa kompromitovanih uređaja, kao što je kreiranje, modifikacija, uklanjanje i krađa datoteka, listanje i završetak procesa, prikupljanje kredencijala iz iCloud Keychain-a i praćenje lokacija korisnika.
Lanac napada počinje tako što ciljana žrtva prima iMessage sa prilogom koji automatski pokreće izvršenje payload-a bez potrebe za bilo kakvom interakcijom, što ga čini eksploatacijom bez klika.
„Maliciozna poruka je deformisana i ne pokreće nikakva upozorenja ili obaveštenja za korisnika“ primetio je Kaspersky u svom početnom izveštaju.
CVE-2023-32434 i CVE-2023-32435 su dvije od mnogih ranjivosti u iOS-u koje su zloupotrebljene u napadu špijunaže. Jedan od njih je CVE-2022-46690, problem van granica pisanja visoke ozbiljnosti u IOMobileFrameBuffer-u koji može biti naoružan lažnom aplikacijom za izvršavanje proizvoljnog koda s privilegijama kernela.
Slabost je otklonio Apple poboljšanom provjerom unosa u decembru 2022. godine.
Kaspersky je označio TriangleDB da sadrži neiskorištene funkcije koje se odnose na macOS, kao i dozvole koje traže pristup mikrofonu, kameri i adresaru uređaja za koji je rekao da bi se mogao iskoristiti u budućnosti.
Istraga ruske kompanije za kibernetičku bezbjednost o operaciji Triangulation počela je početkom godine kada je otkrila kompromis u svojoj vlastitoj poslovnoj mreži.
U svjetlu aktivne eksploatacije, agencijama Federalne civilne izvršne vlasti (FCEB) preporučuje se primjena zakrpa koje obezbjeđuje dobavljač kako bi osigurale svoje mreže od potencijalnih pretnji.
Razvoj dolazi kada je CISA izdala upozorenje o tri greške u softverskom paketu Berkeley Internet Name Domain (BIND) 9 Sistem imena domena (DNS) koji bi mogao utrti put za stanje uskraćivanja usluge (DoS).
Nedostaci CVE-2023-2828, CVE-2023-2829 i CVE-2023-2911 (CVSS rezultati: 7,5) mogli bi se iskoristiti na daljinu, što bi rezultovalo neočekivanim prekidom imenovane BIND9 usluge ili iscrpljivanjem sve dostupne memorije na host koji radi nazvan, što dovodi do DoS-a.
Ovo je drugi put u manje od šest mjeseci da je Internet Systems Consortium (ISC) objavio zakrpe za rešavanje sličnih problema u BIND9 koji bi mogli uzrokovati DoS i sistemske kvarove.
Izvor: The Hacker News