L’Agence américaine de cybersécurité et de sécurité des infrastructures a ajouté un lot de six failles à son catalogue de vulnérabilités exploitées connues (KEV), citant des preuves d’exploitation active.
Cela comprend trois vulnérabilités corrigées par Apple cette semaine (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439), deux failles dans VMware (CVE-2023-20867 et CVE-2023-20887) et une lacune impactant les appareils Zyxel (CVE-2023-27992).
CVE-2023-32434 et CVE-2023-32435, qui permettent tous deux l’exécution de code, auraient été exploités en tant que zero-days pour déployer des logiciels espions dans le cadre d’une campagne de cyberespionnage qui a débuté en 2019.
Baptisée Operation Triangulation, l’activité culmine avec le déploiement de TriangleDB, conçu pour collecter un large éventail d’informations à partir d’appareils compromis, telles que la création, la modification, la suppression et le vol de fichiers, la liste et la terminaison de processus, la collecte d’informations d’identification à partir du trousseau iCloud et le suivi. l’emplacement d’un utilisateur.
La chaîne d’attaque commence par la réception par la victime ciblée d’un iMessage avec une pièce jointe qui déclenche automatiquement l’exécution de la charge utile sans nécessiter aucune interaction, ce qui en fait un exploit sans clic.
« Le message malveillant est malformé et ne déclenche aucune alerte ou notification pour [the] utilisateur », a noté Kaspersky dans son rapport initial.
CVE-2023-32434 et CVE-2023-32435 sont deux des nombreuses vulnérabilités d’iOS qui ont été exploitées lors de l’attaque d’espionnage. L’un d’entre eux est CVE-2022-46690, un problème d’écriture hors limites de haute gravité dans IOMobileFrameBuffer qui pourrait être militarisé par une application malveillante pour exécuter du code arbitraire avec les privilèges du noyau.
La faiblesse a été corrigée par Apple avec une meilleure validation des entrées en décembre 2022.
Kaspersky a signalé que TriangleDB contenait des fonctionnalités inutilisées faisant référence à macOS ainsi que des autorisations demandant l’accès au microphone, à la caméra et au carnet d’adresses de l’appareil qui, selon lui, pourraient être exploitées à une date ultérieure.
L’enquête de la société russe de cybersécurité sur l’opération Triangulation a commencé au début de l’année lorsqu’elle a détecté la compromission dans son propre réseau d’entreprise.
À la lumière de l’exploitation active, il est recommandé aux agences de la Federal Civilian Executive Branch (FCEB) d’appliquer les correctifs fournis par le fournisseur pour sécuriser leurs réseaux contre les menaces potentielles.
Le développement intervient alors que la CISA a émis un avertissement d’alerte concernant trois bogues dans la suite logicielle Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) qui pourraient ouvrir la voie à une condition de déni de service (DoS).
Les failles – CVE-2023-2828, CVE-2023-2829 et CVE-2023-2911 (scores CVSS : 7,5) – pourraient être exploitées à distance, entraînant l’arrêt inattendu du service BIND9 nommé ou l’épuisement de toute la mémoire disponible sur l’hôte en cours d’exécution nommé, conduisant à DoS.
C’est la deuxième fois en moins de six mois que l’Internet Systems Consortium (ISC) publie des correctifs pour résoudre des problèmes similaires dans BIND9 qui pourraient entraîner des DoS et des défaillances du système.
