La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. agregó un lote de seis fallas a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de explotación activa.
Esto comprende tres vulnerabilidades que Apple corrigió esta semana ( CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439 ), dos fallas en VMware ( CVE-2023-20867 y CVE-2023-20887 ) y una Defecto que afecta a los dispositivos Zyxel ( CVE-2023-27992 ).
Se dice que CVE-2023-32434 y CVE-2023-32435, que permiten la ejecución de código, se explotaron como días cero para implementar spyware como parte de una campaña de espionaje cibernético de un año de duración que comenzó en 2019.
Apodada Operación Triangulación, la actividad culmina con la implementación de TriangleDB que está diseñado para recopilar una amplia gama de información de dispositivos comprometidos, como crear, modificar, eliminar y robar archivos, enumerar y finalizar procesos, recopilar credenciales de iCloud Keychain y rastrear la ubicación de un usuario.
La cadena de ataque comienza cuando la víctima objetivo recibe un iMessage con un archivo adjunto que activa automáticamente la ejecución de la carga útil sin necesidad de interacción alguna, lo que lo convierte en un exploit sin clic.
«El mensaje malicioso tiene un formato incorrecto y no activa ninguna alerta o notificación para [el] usuario», señaló Kaspersky en su informe inicial.
CVE-2023-32434 y CVE-2023-32435 son dos de las muchas vulnerabilidades en iOS de las que se ha abusado en el ataque de espionaje. Uno de ellos es CVE-2022-46690 , un problema de escritura fuera de los límites de alta gravedad en IOMobileFrameBuffer que podría convertirse en un arma mediante una aplicación no autorizada para ejecutar código arbitrario con privilegios de kernel.
Apple remedió la debilidad con una validación de entrada mejorada en diciembre de 2022.
Kaspersky señaló que TriangleDB contenía funciones no utilizadas que hacen referencia a macOS, así como permisos que buscan acceso al micrófono, la cámara y la libreta de direcciones del dispositivo que, según dijo, podrían aprovecharse en una fecha futura.
La investigación de la empresa rusa de ciberseguridad sobre la Operación Triangulación comenzó a principios de año cuando detectó el compromiso en su propia red empresarial.
A la luz de la explotación activa, se recomienda a las agencias de la Rama Ejecutiva Civil Federal (FCEB) que apliquen parches proporcionados por los proveedores para proteger sus redes contra amenazas potenciales.
El desarrollo se produce cuando CISA emitió una advertencia de alerta de tres errores en el paquete de software Berkeley Internet Name Domain ( BIND ) 9 Domain Name System (DNS) que podría allanar el camino para una condición de denegación de servicio (DoS).
Las fallas, CVE-2023-2828 , CVE-2023-2829 y CVE-2023-2911 (puntajes CVSS: 7.5), podrían explotarse de forma remota, lo que resultaría en la terminación inesperada del servicio BIND9 mencionado o el agotamiento de toda la memoria disponible en el host que se ejecuta con nombre, lo que lleva a DoS.
Esta es la segunda vez en menos de seis meses que Internet Systems Consortium (ISC) lanza parches para resolver problemas similares en BIND9 que podrían causar DoS y fallas del sistema.
Fuente y redacción: thehackernews.com
