Apple, NSO iPhone Casus Yazılımını Dağıtmak İçin Kullanılan iOS Sıfır Gün Açığını Kapattı
Apple, iPhone’lara ve Mac’lere saldırmak için vahşi doğada istismar edildiği görülen iki sıfırıncı gün güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı. Bir tanesinin iPhone’lara Pegasus casus yazılımı yüklemek için kullanıldığı biliniyor.
Güvenlik açıkları, CVE-2021-30860 ve CVE-2021-30858 olarak izlenir ve her ikisi de kötü amaçlarla hazırlanmış belgelerin güvenlik açığı bulunan cihazlarda açıldığında komut yürütmesine izin verir.
CVE-2021-30858, bilgisayar korsanlarının iPhone’larda ve macOS’ta ziyaret ederken komutları yürüten kötü amaçlarla hazırlanmış web sayfası oluşturmalarına olanak tanıyan ücretsiz güvenlik açığından sonra kullanılan bir WebKit’tir. Apple, bu güvenlik açığının isimsiz olarak ifşa edildiğini belirtiyor.
Şirket, her iki güvenlik açığıyla ilgili olarak bugün yayınlanan güvenlik tavsiyelerinde “Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkında” dedi .
Apple, güvenlik açıklarının saldırılarda nasıl kullanıldığına ilişkin daha fazla bilgi yayınlamasa da Citizen Lab, CVE-2021-30860’ın ‘FORCEDENTRY’ adlı sıfır günlük sıfır tıklamalı bir iMessage istismarı olduğunu doğruladı.
FORCEDENTRY açığının , NSO Pegasus casus yazılımını Bahreynli aktivistlere ait cihazlara dağıtmak için iOS BlastDoor güvenlik özelliğini atlamak için kullanıldığı keşfedildi .
BleepingComputer, saldırılarla ilgili daha fazla soru için Citizen Lab ile iletişime geçti, ancak şu anda bir yanıt alamadı.
Apple sıfır günleri 2021’de yaygınlaşıyor
iOS ve Mac cihazlarına yönelik hedefli saldırılarda kullanılan sıfırıncı gün güvenlik açıklarının bitmeyen akışıyla Apple için çok yoğun bir yıl oldu.
- FORCEDENTRY yararlanma (daha önce Megalodon olarak Af Tech tarafından izlenir) Ağustos anlatılmıştır,
- Şubat ayında üç iOS sıfır günü (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872), doğada istismar edildi ve anonim araştırmacılar tarafından bildirildi,
- Mart ayında aktif olarak yararlanılmış olabilecek bir iOS sıfır gün (CVE-2021-1879),
- Nisan ayında iOS’ta (CVE-2021-30661) ve macOS’te (CVE-2021-30657) bir sıfır gün , Shlayer kötü amaçlı yazılımından yararlanıldı,
- Mayıs ayındaki diğer üç iOS sıfır günü (CVE-2021-30663, CVE-2021-30665 ve CVE-2021-30666), yalnızca kötü amaçlı web sitelerini ziyaret ederek rastgele uzaktan kod yürütülmesine (RCE) izin veren hatalar,
- Mayıs ayında, XCSSET kötü amaçlı yazılımı tarafından Apple’ın TCC gizlilik korumalarını atlamak için kötüye kullanılan bir macOS sıfır gün (CVE-2021-30713) .
- Haziran ayında eski iPhone, iPad ve iPod cihazlarına girmek için “aktif olarak istismar edilmiş” olabilecek iki iOS sıfır gün hatası (CVE-2021-30761 ve CVE-2021-30762) .
Project Zero ayrıca bu yıl Windows, iOS ve Android cihazlarını hedef alan saldırılarda kullanılan 11 sıfır gün güvenlik açığını da açıkladı .
Metnin aslına ulaşmak için: