L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une nouvelle faille à son catalogue de vulnérabilités exploitées dans la nature, un bug d’exécution de code à distance Apple WebKit utilisé pour cibler les iPhones, iPads et Mac.
Selon la directive opérationnelle contraignante (BOD 22-01) émise par la CISA en novembre, les agences fédérales sont désormais tenues de corriger leurs systèmes contre cette vulnérabilité activement exploitée affectant les appareils iOS, iPadOS et macOS.
La CISA a déclaré que toutes les agences fédérales du pouvoir exécutif civil (FCEB) doivent corriger la vulnérabilité identifiée comme CVE-2022-22620 [1, 2] jusqu’au 25 février 2022.
« Ces types de vulnérabilités sont un vecteur d’attaque fréquent pour les cyber-acteurs malveillants de tous types et présentent un risque important pour l’entreprise fédérale », a déclaré l’agence de cybersécurité. mentionné.
« Bien que BOD 22-01 ne s’applique qu’aux agences FCEB, CISA exhorte vivement toutes les organisations à réduire leur exposition aux cyberattaques en donnant la priorité à la correction rapide des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités. »
Hier, la CISA a également demandé aux agences FCEB de corriger 15 autres vulnérabilités marquées comme étant sous exploitation active, avec CVE-2021-36934 – un bug Microsoft Windows SAM (Security Accounts Manager) permettant l’élévation des privilèges et le vol d’informations d’identification – ayant une date limite de mise à jour le 24 février.
Troisième patch zero-day par Apple cette année
Le CVE-2022-22620 est le troisième patch zero-day d’Apple depuis le début de 2022 et est un WebKit Utiliser après gratuit problème exploitable pour les plantages du système d’exploitation et l’exécution de code sur les appareils vulnérables.
Une exploitation réussie permet aux attaquants d’exécuter du code arbitraire sur les iPhones, iPads et Mac après avoir ouvert des pages Web conçues de manière malveillante à l’aide de Safari.
« En particulier, tous les navigateurs pour iOS et iPadOS sont basés sur ce moteur open source, c’est-à-dire non seulement le Safari par défaut de l’iPhone, mais aussi Google Chrome, Mozilla Firefox et tous les autres », Kaspersky a dit aujourd’hui. « Ainsi, même si vous n’utilisez pas Safari, cette vulnérabilité vous affecte toujours directement. »
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a ajouté la société en décrivant le jour zéro.
Apple a corrigé la vulnérabilité en améliorant la gestion de la mémoire dans iOS 15.3.1, iPadOS 15.3.1 et macOS Monterey 12.2.1.
La liste complète des appareils concernés est assez longue et comprend l’iPhone 6 et les versions ultérieures, plusieurs modèles d’iPad et les Mac exécutant macOS Monterey.
Même si cette faille n’a probablement été utilisée que dans un petit nombre d’attaques ciblées, il est toujours fortement recommandé d’installer les mises à jour dès que possible pour bloquer les tentatives d’attaque potentielles, tout comme la CISA l’a demandé plus tôt dans la journée.
En janvier, Apple a également corrigé deux autres zero-days activement exploités qui peuvent permettre aux attaquants de suivre l’activité de navigation et l’identité des utilisateurs en temps réel (CVE-2022-22594) et d’obtenir l’exécution de code arbitraire avec les privilèges du noyau (CVE-2022-22587) .