image

VS verplicht overheidsinstanties om oude iOS-kwetsbaarheden te patchen

dinsdag 28 juni 2022, 09:40 door Redactie, 0 reacties

Amerikaanse overheidsinstanties moeten verschillende oude kwetsbaarheden in iOS en macOS voor 18 juli hebben gepatcht, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security besloten. Aanleiding is een recente blogpost van Google over aanvallen tegen Android- en iOS-gebruikers.

Onlangs meldde het techbedrijf dat smartphonegebruikers eind vorig jaar het doelwit waren geworden van aanvallen waarbij de aanvallers hulp kregen van de telecomprovider van de betreffende slachtoffers, die zich in Italië en Kazachstan bevonden. Op verzoek van de aanvallers besloot de telecomprovider de dataverbinding uit te schakelen, waarna de aanvallers een sms-bericht naar het doelwit stuurden waarin werd gesteld dat de gelinkte Vodafone-app geïnstalleerd moest worden om de dataverbinding te herstellen.

De malafide-app bevond zich niet in de Apple App Store, maar kon door middel van een enterprise-certificaat worden gesideload. Deze certificaten zijn voor driehonderd dollar bij Apple verkrijgbaar en zorgen ervoor dat iOS-apps buiten de controle van de App Store op iPhones zijn te installeren. Eenmaal geïnstalleerd maakte de malafide app misbruik van verschillende kwetsbaarheden om code met kernelrechten uit te voeren en zo volledige controle over het toestel te krijgen.

Het gaat om CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020-3837 en CVE-2021-30983. Voor vier van de vijf beveiligingslekken had Apple al updates uitgebracht. Op het moment dat de patches uitkwamen werd er volgens het techbedrijf geen misbruik van de softwarelekken gemaakt. Alleen in het geval van CVE-2021-30983, verholpen in iOS 15.2 en iPadOS 15.2, was er sprake van een zerodaylek en verscheen de update pas na ontdekking van de aanvallen.

Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bevat de vijf Apple-kwetsbaarheden, alsmede drie andere lekken. Amerikaanse overheidsinstanties moeten alle acht kwetsbaarheden voor 18 juli hebben gepatcht.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.