Güvenlik araştırmacıları, saldırganların aktif olarak yararlandığı iki kritik güvenlik açığından kaynaklanan riski azaltmak için Apple Mac, iPhone ve iPad cihazlarını her teknoloji için işletim sistemlerinin yeni yayınlanan sürümlerine hemen güncellemeye çağırıyor.
Sıfır gün kusurları, tehdit aktörlerinin etkilenen cihazların tam kontrolünü ele geçirmesine izin verir. Bunlar iPhone 6s ve sonraki modellerini, tüm iPad Pro, iPod touch (7. nesil), iPad Ai2 ve sonraki modellerini, iPad 5. nesil ve sonraki modellerini ve iPad mini 4 ve sonraki modellerini etkiler. Ayrıca macOS Monterey, macOS Big Sur ve macOS Catalina çalıştıran Mac kullanıcıları da etkilenir. Apple, güvenlik açıklarını ve bunlara yönelik güncellemeleri Çarşamba günü açıkladı.
Uzaktan Kod Yürütme Kusurları
Sıfır günlerden biri (CVE-2022-32893), Apple’ın Safari ve tüm iOS ve iPadOS Web tarayıcıları için tarayıcı motoru olan WebKit’te bulunur. Apple, kusuru, saldırganların savunmasız cihazların kontrolünü uzaktan ele geçirmek için kullanabilecekleri sınırların dışında bir yazma sorununa bağlı olarak nitelendirdi. Apple, bu haftaki tipik kısa güvenlik açığı açıklamalarından birinde, “Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi keyfi kod yürütülmesine yol açabilir” diye uyardı. Şirket, “Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkında” dedi.
Diğer güvenlik açığı (CVE-2022-32894), saldırganlara güvenlik açığı bulunan cihazlarda çekirdek düzeyinde ayrıcalıklarla kod yürütmenin bir yolunu sağlayan, sınırların dışında bir yazma hatasıdır. Bu tür güvenlik açıkları, saldırganların temel donanıma tam erişim elde etmesine olanak tanır. Şirket, saldırganların hatayı aktif olarak sömürdüğüne dair raporlardan haberdar olduğunu söyledi.
Apple, iOS 15.6.1, iPadOS 15.6.1’de “gelişmiş sınır denetimi” uyguladığını söyledi. macOS Monterey 12.5.1ve Safari 15.6.1 her iki sorunu da ele almak için.
Ulusal Siber Güvenlik İttifakı’nın yönetici direktörü Lisa Plaggemier, Apple teknolojilerinin yaygın şekilde kullanılmasının hem işletmeleri hem de tüketicileri güvenlik açıklarından riske attığını söyledi. “Siber suçlular şüphesiz tüketiciler hakkındaki kişisel bilgilere erişmeye çalışacak olsa da, bir işletmeye erişmenin genellikle kötü niyetli aktörler için önemli ölçüde daha fazla avantajı vardır” diyor.
WebKit Kusurunun Etkisi Daha Geniştir
Bir blogda Sophos, CVE-2022-32893’ü şu şekilde tanımladı: potansiyel olarak daha geniş etki Apple’ın bu hafta açıkladığı diğer kusurla karşılaştırıldığında. Bu kusur, saldırganlara Mac’leri, iPhone’ları ve iPad’leri güvenilmeyen yazılımları çalıştırmaları için kandırabilecek “bubi tuzağına yakalanmış” Web sayfaları kurmanın bir yolunu sunuyor. Güvenlik sağlayıcısı, “Basitçe söylemek gerekirse, tek yaptığınız masum bir web sayfasını görüntülemek olsa bile, bir siber suçlu cihazınıza kötü amaçlı yazılım yerleştirebilir” dedi.
WebKit, Apple’ın mobil cihazlarındaki tüm Web oluşturma yazılımlarına güç sağladığı ve Mac kullanıcıları tarafından da yaygın olarak kullanıldığı için kusurun yaygın bir etkisi vardır. Sophos, güvenlik açığının yalnızca Safari tarayıcısının kendisinden daha fazla uygulama ve sistem bileşenini etkilediğini, bu nedenle yalnızca tarayıcıdan uzak durmanın riski azaltmak için yeterli olmadığını söyledi.
Digital Shadows bilgi güvenliği şefi ve strateji başkan yardımcısı Rick Holland, “WebKit bileşeni, tüm Apple yazılımlarındaki tarayıcı motoru olduğu için özellikle sorunlu” diyor. “Apple kullanıcıları şimdi yama yapmalı. Bu güncellemelerin mümkün olan en kısa sürede uygulanması gerekiyor.”
Hem Tüketiciler hem de Kuruluşlar Risk Altında
Son zamanlarda yazılım satıcısı güvenlik açığı açıklamalarının seyrek doğası hakkında birçok kişinin belirttiği gibi, Holland da Apple’ın kusurlar hakkında daha fazla bağlam ve ayrıntı sağlamasının savunucular için daha yararlı olacağını söyledi.
“Apple, bu haftanın iki sıfır günlük güvenlik açığının teknik ayrıntılarına ışık tutuyor” diyor. Apple’ın açıklamasının okuduğu gibi, “Ancak, ‘çekirdek ayrıcalıklarıyla rastgele kod yürütün’ ifadesini görmek asla güven verici değildir.
Savunucular, yamaları derhal göndermeli ve çalışanların herhangi bir kişisel iPhone, iPad veya Mac’e yama yapması gerektiğine dair bildirimler göndermelidir. Bu güncellemeler, çalışanların yaşamlarına yönelik riskleri tartışmak ve otomatik güncellemelerin nasıl etkinleştirileceği de dahil olmak üzere yama talimatları sağlamak için bir güvenlik bilinci fırsatı sunar.
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, saldırganların bu güvenlik açıklarından ne kadar kolay yararlanabileceğini belirlemek için yeterli bilgi olmadığını söylüyor. Ancak, vahşi doğada halihazırda kullanılan kusurlarla ilgili raporların, özellikle uzaktan kod yürütülmesine izin vermeleri nedeniyle endişe verici olduğunu söylüyor. Apple ürünlerinin hem kurumsal hem de tüketici pazarlarında yaygın olarak kullanıldığını ve genellikle Kendi Aygıtını Getir (BYOD) ortamlarında çalışan kişiler için örtüştüğünü söylüyor. Bu ve göreceli ayrıntı eksikliği göz önüne alındığında, kimin daha fazla risk altında olacağını söylemek zor.
Parkin, “Kuruluşlar, ortamlarına yönelik riski en aza indirgemek için uygun kontrolleri uygulamalıdır” diyor. “BYOD cihazlarına izin verenler, doğrudan kontrol etmedikleri sistemleri ele almaları gerekeceğinden bazı ek zorluklarla karşılaşacaklar.”