توییت
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده با استناد به شواهدی مبنی بر بهره برداری فعال، مجموعه ای از شش نقص را به کاتالوگ آسیب پذیری های مورد بهره برداری شناخته شده (KEV) اضافه کرده است.
این شامل سه آسیبپذیری است که اپل این هفته آنها را اصلاح کرد (CVE-2023-32434، CVE-2023-32435، و CVE-2023-32439)، دو نقص در VMware (CVE-2023-20867 و CVE-2023-2087)، و یکی نقصی که دستگاههای Zyxel را تحت تأثیر قرار میدهد (CVE-2023-27992).
گفته میشود که CVE-2023-32434 و CVE-2023-32435، که هر دو اجرای کد را امکانپذیر میکنند، بهعنوان روزهای صفر برای استقرار نرمافزارهای جاسوسی به عنوان بخشی از یک کمپین جاسوسی سایبری چند ساله که در سال 2019 آغاز شد، مورد سوء استفاده قرار گرفتهاند.
این فعالیت با نام Operation Triangulation با استقرار TriangleDB که برای جمع آوری طیف گسترده ای از اطلاعات از دستگاه های در معرض خطر طراحی شده است، از جمله ایجاد، تغییر، حذف، و سرقت فایل ها، فهرست کردن و خاتمه فرآیندها، جمع آوری اعتبار از iCloud Keychain و ردیابی به اوج خود می رسد. موقعیت مکانی یک کاربر
زنجیره حمله با دریافت iMessage توسط قربانی هدف شروع می شود که به طور خودکار بدون نیاز به هیچ گونه تعاملی، بار را آغاز می کند و آن را به یک سوء استفاده بدون کلیک تبدیل می کند.
کسپرسکی در گزارش اولیه خود خاطرنشان کرد: "پیام مخرب دارای شکل نادرستی است و هیچ هشدار یا اعلانی را برای کاربر ایجاد نمی کند."
CVE-2023-32434 و CVE-2023-32435 دو مورد از آسیب پذیری های متعدد در iOS هستند که در حمله جاسوسی مورد سوء استفاده قرار گرفته اند. یکی از آنها CVE-2022-46690 است، یک مشکل نوشتن خارج از محدوده با شدت بالا در IOMobileFrameBuffer که می تواند توسط یک برنامه سرکش برای اجرای کد دلخواه با امتیازات هسته مورد استفاده قرار گیرد.
این ضعف توسط اپل با اعتبار سنجی ورودی بهبود یافته در دسامبر 2022 برطرف شد.
کسپرسکی TriangleDB را بهعنوان حاوی ویژگیهای استفادهنشده برای ارجاع به macOS و همچنین مجوزهایی برای دسترسی به میکروفون، دوربین و دفترچه آدرس دستگاه که میگوید در تاریخ آینده قابل استفاده است، علامتگذاری کرد.
تحقیقات شرکت امنیت سایبری روسی در مورد عملیات Triangulation در ابتدای سال و زمانی که این شرکت در شبکه سازمانی خود به خطر افتاد آغاز شد.
با توجه به بهرهبرداری فعال، به آژانسهای شعبه اجرایی غیرنظامی فدرال (FCEB) توصیه میشود وصلههای ارائهشده توسط فروشنده را برای ایمن کردن شبکههای خود در برابر تهدیدات احتمالی اعمال کنند.
این توسعه زمانی صورت میگیرد که CISA هشدار هشداری درباره سه باگ در مجموعه نرمافزاری سیستم نام دامنه (DNS) 9 دامنه نام اینترنتی برکلی (BIND) صادر کرد که میتواند راه را برای شرایط انکار سرویس (DoS) هموار کند.
معایب - CVE-2023-2828، CVE-2023-2829، و CVE-2023-2911 (امتیازات CVSS: 7.5) - می توانند از راه دور مورد سوء استفاده قرار گیرند، که منجر به خاتمه غیرمنتظره سرویس BIND9 یا تمام حافظه موجود در آن می شود. میزبان در حال اجرا نامگذاری شده و منجر به DoS می شود.
این دومین بار در کمتر از شش ماه است که کنسرسیوم سیستمهای اینترنت (ISC) وصلههایی را برای حل مشکلات مشابه در BIND9 منتشر میکند که میتواند باعث خرابی DoS و سیستم شود.
این شامل سه آسیبپذیری است که اپل این هفته آنها را اصلاح کرد (CVE-2023-32434، CVE-2023-32435، و CVE-2023-32439)، دو نقص در VMware (CVE-2023-20867 و CVE-2023-2087)، و یکی نقصی که دستگاههای Zyxel را تحت تأثیر قرار میدهد (CVE-2023-27992).
گفته میشود که CVE-2023-32434 و CVE-2023-32435، که هر دو اجرای کد را امکانپذیر میکنند، بهعنوان روزهای صفر برای استقرار نرمافزارهای جاسوسی به عنوان بخشی از یک کمپین جاسوسی سایبری چند ساله که در سال 2019 آغاز شد، مورد سوء استفاده قرار گرفتهاند.
این فعالیت با نام Operation Triangulation با استقرار TriangleDB که برای جمع آوری طیف گسترده ای از اطلاعات از دستگاه های در معرض خطر طراحی شده است، از جمله ایجاد، تغییر، حذف، و سرقت فایل ها، فهرست کردن و خاتمه فرآیندها، جمع آوری اعتبار از iCloud Keychain و ردیابی به اوج خود می رسد. موقعیت مکانی یک کاربر
زنجیره حمله با دریافت iMessage توسط قربانی هدف شروع می شود که به طور خودکار بدون نیاز به هیچ گونه تعاملی، بار را آغاز می کند و آن را به یک سوء استفاده بدون کلیک تبدیل می کند.
کسپرسکی در گزارش اولیه خود خاطرنشان کرد: "پیام مخرب دارای شکل نادرستی است و هیچ هشدار یا اعلانی را برای کاربر ایجاد نمی کند."
CVE-2023-32434 و CVE-2023-32435 دو مورد از آسیب پذیری های متعدد در iOS هستند که در حمله جاسوسی مورد سوء استفاده قرار گرفته اند. یکی از آنها CVE-2022-46690 است، یک مشکل نوشتن خارج از محدوده با شدت بالا در IOMobileFrameBuffer که می تواند توسط یک برنامه سرکش برای اجرای کد دلخواه با امتیازات هسته مورد استفاده قرار گیرد.
این ضعف توسط اپل با اعتبار سنجی ورودی بهبود یافته در دسامبر 2022 برطرف شد.
کسپرسکی TriangleDB را بهعنوان حاوی ویژگیهای استفادهنشده برای ارجاع به macOS و همچنین مجوزهایی برای دسترسی به میکروفون، دوربین و دفترچه آدرس دستگاه که میگوید در تاریخ آینده قابل استفاده است، علامتگذاری کرد.
تحقیقات شرکت امنیت سایبری روسی در مورد عملیات Triangulation در ابتدای سال و زمانی که این شرکت در شبکه سازمانی خود به خطر افتاد آغاز شد.
با توجه به بهرهبرداری فعال، به آژانسهای شعبه اجرایی غیرنظامی فدرال (FCEB) توصیه میشود وصلههای ارائهشده توسط فروشنده را برای ایمن کردن شبکههای خود در برابر تهدیدات احتمالی اعمال کنند.
این توسعه زمانی صورت میگیرد که CISA هشدار هشداری درباره سه باگ در مجموعه نرمافزاری سیستم نام دامنه (DNS) 9 دامنه نام اینترنتی برکلی (BIND) صادر کرد که میتواند راه را برای شرایط انکار سرویس (DoS) هموار کند.
معایب - CVE-2023-2828، CVE-2023-2829، و CVE-2023-2911 (امتیازات CVSS: 7.5) - می توانند از راه دور مورد سوء استفاده قرار گیرند، که منجر به خاتمه غیرمنتظره سرویس BIND9 یا تمام حافظه موجود در آن می شود. میزبان در حال اجرا نامگذاری شده و منجر به DoS می شود.
این دومین بار در کمتر از شش ماه است که کنسرسیوم سیستمهای اینترنت (ISC) وصلههایی را برای حل مشکلات مشابه در BIND9 منتشر میکند که میتواند باعث خرابی DoS و سیستم شود.