VS verplicht overheidsinstanties om oude iOS-kwetsbaarheden te patchen

VS verplicht overheidsinstanties om oude iOS-kwetsbaarheden te patchen

Amerikaanse overheidsinstanties moeten verschillende oude kwetsbaarheden in iOS en macOS voor 18 juli hebben gepatcht, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security besloten. Aanleiding is een recente blogpost van Google over aanvallen tegen Android- en iOS-gebruikers.

Onlangs meldde het techbedrijf dat smartphonegebruikers eind vorig jaar het doelwit waren geworden van aanvallen waarbij de aanvallers hulp kregen van de telecomprovider van de betreffende slachtoffers, die zich in Italië en Kazachstan bevonden. Op verzoek van de aanvallers besloot de telecomprovider de dataverbinding uit te schakelen, waarna de aanvallers een sms-bericht naar het doelwit stuurden waarin werd gesteld dat de gelinkte Vodafone-app geïnstalleerd moest worden om de dataverbinding te herstellen.

De malafide-app bevond zich niet in de Apple App Store, maar kon door middel van een enterprise-certificaat worden gesideload. Deze certificaten zijn voor driehonderd dollar bij Apple verkrijgbaar en zorgen ervoor dat iOS-apps buiten de controle van de App Store op iPhones zijn te installeren. Eenmaal geïnstalleerd maakte de malafide app misbruik van verschillende kwetsbaarheden om code met kernelrechten uit te voeren en zo volledige controle over het toestel te krijgen.

Het gaat om CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020-3837 en CVE-2021-30983. Voor vier van de vijf beveiligingslekken had Apple al updates uitgebracht. Op het moment dat de patches uitkwamen werd er volgens het techbedrijf geen misbruik van de softwarelekken gemaakt. Alleen in het geval van CVE-2021-30983, verholpen in iOS 15.2 en iPadOS 15.2, was er sprake van een zerodaylek en verscheen de update pas na ontdekking van de aanvallen.

Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bevat de vijf Apple-kwetsbaarheden, alsmede drie andere lekken. Amerikaanse overheidsinstanties moeten alle acht kwetsbaarheden voor 18 juli hebben gepatcht.

Bron: https://www.security.nl/posting/758620/VS+verplicht+overheidsinstanties+om+oude+iOS-kwetsbaarheden+te+patchen?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.