La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. agregado un lote de seis defectos a sus Vulnerabilidades Explotadas Conocidas (KEV) catálogo, citando evidencia de explotación activa.
Esto comprende tres vulnerabilidades que Apple corrigió esta semana (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439), dos fallas en VMware (CVE-2023-20867 y CVE-2023-20887), y una deficiencia que afecta a los dispositivos Zyxel (CVE-2023-27992).
Se dice que CVE-2023-32434 y CVE-2023-32435, que permiten la ejecución de código, se explotaron como días cero para implementar spyware como parte de una campaña de espionaje cibernético de un año de duración que comenzó en 2019.
Apodada Operación Triangulación, la actividad culmina con la implementación de TriangleDB que está diseñado para recopilar una amplia gama de información de dispositivos comprometidos, como crear, modificar, eliminar y robar archivos, enumerar y finalizar procesos, recopilar credenciales de iCloud Keychain y rastrear la ubicación de un usuario.
La cadena de ataque comienza cuando la víctima objetivo recibe un iMessage con un archivo adjunto que activa automáticamente la ejecución de la carga útil sin necesidad de interacción alguna, lo que lo convierte en un exploit sin clic.
“El mensaje malicioso tiene un formato incorrecto y no activa ninguna alerta o notificación para [the] usuario”, Kaspersky anotado en su informe inicial.
CVE-2023-32434 y CVE-2023-32435 son dos de las muchas vulnerabilidades en iOS de las que se ha abusado en el ataque de espionaje. Uno entre ellos es CVE-2022-46690un problema de escritura fuera de los límites de alta gravedad en IOMobileFrameBuffer que podría convertirse en un arma mediante una aplicación no autorizada para ejecutar código arbitrario con privilegios de kernel.
Apple remedió la debilidad con una validación de entrada mejorada en diciembre de 2022.
Kaspersky marcó que TriangleDB contenía funciones no utilizadas que hacen referencia a macOS, así como permisos que buscan acceso al micrófono, la cámara y la libreta de direcciones del dispositivo que, según dijo, podrían aprovecharse en una fecha futura.
La investigación de la empresa rusa de ciberseguridad sobre la Operación Triangulación comenzó a principios de año cuando detectó el compromiso en su propia red empresarial.
A la luz de la explotación activa, se recomienda a las agencias de la Rama Ejecutiva Civil Federal (FCEB) que apliquen parches proporcionados por los proveedores para proteger sus redes contra amenazas potenciales.
El desarrollo llega como CISA emitido una advertencia de alerta de tres errores en el dominio de nombres de Internet de Berkeley (UNIR) 9 Paquete de software del sistema de nombres de dominio (DNS) que podría allanar el camino para una condición de denegación de servicio (DoS).
los defectos – CVE-2023-2828, CVE-2023-2829y CVE-2023-2911 (Puntuaciones CVSS: 7,5): podría explotarse de forma remota, lo que daría lugar a la terminación inesperada del servicio BIND9 o al agotamiento de toda la memoria disponible en el host que se ejecuta con nombre, lo que provocaría DoS.
Esta es la segunda vez en menos de seis meses que Internet Systems Consortium (ISC) lanza parches para resolver problemas similares en BIND9 que podrían causar DoS y fallas del sistema.