Ngày 24 tháng 6 năm 2023Ravie LakshmananMối đe dọa Intel / Zero Day
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ đã bổ sung một loạt sáu lỗ hổng vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) của mình, trích dẫn bằng chứng về việc khai thác tích cực.
Điều này bao gồm ba lỗ hổng mà Apple đã vá trong tuần này (CVE-2023-32434, CVE-2023-32435 và CVE-2023-32439), hai lỗ hổng trong VMware (CVE-2023-20867 và CVE-2023-20887) và một thiếu sót ảnh hưởng đến thiết bị Zyxel (CVE-2023-27992).
CVE-2023-32434 và CVE-2023-32435, cả hai đều cho phép thực thi mã, được cho là đã bị khai thác dưới dạng zero-day để triển khai phần mềm gián điệp như một phần của chiến dịch gián điệp mạng kéo dài nhiều năm bắt đầu vào năm 2019.
Được gọi là Operation Triangulation, hoạt động lên đến đỉnh điểm trong việc triển khai TriangleDB được thiết kế để thu thập nhiều loại thông tin từ các thiết bị bị xâm nhập, chẳng hạn như tạo, sửa đổi, xóa và đánh cắp tệp, liệt kê và chấm dứt quy trình, thu thập thông tin xác thực từ Chuỗi khóa iCloud và theo dõi vị trí của người dùng.
Chuỗi tấn công bắt đầu với việc nạn nhân được nhắm mục tiêu nhận được iMessage có tệp đính kèm tự động kích hoạt việc thực thi tải trọng mà không yêu cầu bất kỳ tương tác nào, khiến nó trở thành một khai thác không cần nhấp chuột.
“Thông báo độc hại không đúng định dạng và không kích hoạt bất kỳ cảnh báo hoặc thông báo nào cho [the] người dùng,” Kaspersky lưu ý trong báo cáo ban đầu của mình.
CVE-2023-32434 và CVE-2023-32435 là hai trong số nhiều lỗ hổng trên iOS đã bị lạm dụng trong cuộc tấn công gián điệp. Một trong số đó là CVE-2022-46690, một sự cố ghi ngoài giới hạn có mức độ nghiêm trọng cao trong IOMobileFrameBuffer có thể được ứng dụng giả mạo vũ khí hóa để thực thi mã tùy ý với các đặc quyền của kernel.
Điểm yếu này đã được Apple khắc phục bằng tính năng xác thực đầu vào được cải thiện vào tháng 12 năm 2022.
Kaspersky đã gắn cờ TriangleDB là có chứa các tính năng không sử dụng tham chiếu đến macOS cũng như các quyền tìm kiếm quyền truy cập vào micrô, máy ảnh và sổ địa chỉ của thiết bị mà hãng cho biết có thể được tận dụng vào một ngày trong tương lai.
Cuộc điều tra của công ty an ninh mạng Nga về Chiến dịch Tam giác bắt đầu vào đầu năm khi họ phát hiện ra sự xâm phạm trong mạng doanh nghiệp của chính họ.
Trước tình trạng khai thác tích cực, các cơ quan Chi nhánh Hành pháp Dân sự Liên bang (FCEB) được khuyến nghị áp dụng các bản vá do nhà cung cấp cung cấp để bảo vệ mạng của họ trước các mối đe dọa tiềm tàng.
Sự phát triển diễn ra khi CISA đưa ra cảnh báo cảnh báo về ba lỗi trong bộ phần mềm Hệ thống tên miền (DNS) Berkeley Internet Name Domain (BIND) 9 có thể mở đường cho tình trạng từ chối dịch vụ (DoS).
Các lỗ hổng – CVE-2023-2828, CVE-2023-2829 và CVE-2023-2911 (điểm CVSS: 7,5) – có thể bị khai thác từ xa, dẫn đến việc dịch vụ BIND9 có tên bị chấm dứt bất ngờ hoặc hết bộ nhớ khả dụng trên máy chủ đang chạy có tên, dẫn đến DoS.
Đây là lần thứ hai trong vòng chưa đầy sáu tháng, Internet Systems Consortium (ISC) đã phát hành các bản vá để giải quyết các sự cố tương tự trong BIND9 có thể gây ra DoS và lỗi hệ thống.
