L’Agence américaine de cybersécurité et de sécurité des infrastructures a ajoutée un lot de six failles à ses Vulnérabilités Exploitées Connues (KEV) catalogue, citant des preuves d’exploitation active.
Cela comprend trois vulnérabilités corrigées par Apple cette semaine (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439), deux failles dans VMware (CVE-2023-20867 et CVE-2023-20887) et une lacune impactant les appareils Zyxel (CVE-2023-27992).
CVE-2023-32434 et CVE-2023-32435, qui permettent tous deux l’exécution de code, auraient été exploités en tant que zero-days pour déployer des logiciels espions dans le cadre d’une campagne de cyberespionnage qui a débuté en 2019.
Baptisée Operation Triangulation, l’activité culmine avec le déploiement de TriangleDB, conçu pour collecter un large éventail d’informations à partir d’appareils compromis, telles que la création, la modification, la suppression et le vol de fichiers, la liste et la terminaison de processus, la collecte d’informations d’identification à partir du trousseau iCloud et le suivi. l’emplacement d’un utilisateur.
La chaîne d’attaque commence par la réception par la victime ciblée d’un iMessage avec une pièce jointe qui déclenche automatiquement l’exécution de la charge utile sans nécessiter aucune interaction, ce qui en fait un exploit sans clic.
“Le message malveillant est malformé et ne déclenche aucune alerte ou notification pour [the] utilisateur,” Kaspersky indiqué dans son rapport initial.
CVE-2023-32434 et CVE-2023-32435 sont deux des nombreuses vulnérabilités d’iOS qui ont été exploitées lors de l’attaque d’espionnage. L’un d’entre eux est CVE-2022-46690un problème d’écriture hors limites de haute gravité dans IOMobileFrameBuffer qui pourrait être transformé en arme par une application malveillante pour exécuter du code arbitraire avec les privilèges du noyau.
La faiblesse a été corrigée par Apple avec une meilleure validation des entrées en décembre 2022.
Kaspersky a signalé que TriangleDB contenait des fonctionnalités inutilisées faisant référence à macOS ainsi que des autorisations demandant l’accès au microphone, à la caméra et au carnet d’adresses de l’appareil qui, selon lui, pourraient être exploitées à une date ultérieure.
L’enquête de la société russe de cybersécurité sur l’opération Triangulation a commencé au début de l’année lorsqu’elle a détecté la compromission dans son propre réseau d’entreprise.
À la lumière de l’exploitation active, il est recommandé aux agences de la Federal Civilian Executive Branch (FCEB) d’appliquer les correctifs fournis par le fournisseur pour sécuriser leurs réseaux contre les menaces potentielles.
Le développement vient comme CISA publié une alerte d’avertissement de trois bogues dans le domaine de noms Internet de Berkeley (LIER) 9 Suite logicielle DNS (Domain Name System) qui pourrait ouvrir la voie à une condition de déni de service (DoS).
Les défauts – CVE-2023-2828, CVE-2023-2829et CVE-2023-2911 (scores CVSS : 7,5) – pourrait être exploité à distance, entraînant l’arrêt inattendu du service BIND9 nommé ou l’épuisement de toute la mémoire disponible sur l’hôte exécutant nommé, entraînant un DoS.
C’est la deuxième fois en moins de six mois que l’Internet Systems Consortium (ISC) publie des correctifs pour résoudre des problèmes similaires dans BIND9 qui pourraient entraîner des DoS et des défaillances du système.