美國資安最高主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)日前通令全美聯邦政府下轄各單位,應即刻修補發生在 iPhone 上的兩個 0-day 資安漏洞 CVE-2023-32434 與 CVE-2023-32435。
這兩個漏洞由資安廠商 Kaspersky 發現,與其相關的攻擊活動命名為「Operation Triangulation」;Kaspersky 是在該公司莫斯科與全球多處辦公室所屬員工持有的 iPhone 上發現該攻擊活動。據報該攻擊活動自 2019 年起就開始進行,且一直持續至今。
該攻擊活動係利用存於 iMessage 中的這兩個漏洞,且遭俄國情報單位指控這批漏洞為 Apple 公司與美國國家安全局刻意製作,用於監控數千台由俄國政府官員與該國駐以色列、中國、歐盟成員國的使館人員使用的 iPhone 手機之上,不過 Apple 已否認這種指控。
Apple 也在上周三緊急發表資安更新,修補包括這兩個 0-day 漏洞在內的多個 iOS 資安漏洞;Apple 也表示已經獲知這兩個漏洞已遭大規模用於針對 iOS 15.7 之前版本的攻擊之上。
受這兩個漏洞影響的 Apple 產品,包括 iPhone 8 和後續機型、iPad Pro(所有機型)、iPad Air(第 3 代)和後續機型、iPad(第 5 代)和後續機型,以及 iPad mini(第 5 代)和後續機型。
CISA 已將這兩個漏洞,連同其他近期發布的多個嚴重漏洞加入其 KEV 名單中,所有美國聯邦政府轄下民事與執行單位,都應在 7 月 4 日前完成修補。
建議建議各公私單位參考 CISA 不定期發布的最新 KEV 名單進行資安修補,以避免遭駭侵者透過已知但未及修補的各式資安漏洞發動攻擊。
- 參考連結
關於 iOS 16.5.1 和 iPadOS 16.5.1 的安全性內容
https://support.apple.com/zh-tw/HT213814
Dissecting TriangleDB, a Triangulation spyware implant
https://securelist.com/triangledb-triangulation-implant/110050/
Known Exploited Vulnerabilities Catalog
https://www.cisa.gov/known-exploited-vulnerabilities-catalog