CISA 要求美國政府單位立即修補可能造成間諜軟體攻擊的 iPhone 資安漏洞－台灣電腦網路危機處理暨協調中心-TWCERT/CC

美國資安最高主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA）日前通令全美聯邦政府下轄各單位，應即刻修補發生在 iPhone 上的兩個 0-day 資安漏洞 CVE-2023-32434 與 CVE-2023-32435。

這兩個漏洞由資安廠商 Kaspersky 發現，與其相關的攻擊活動命名為「Operation Triangulation」；Kaspersky 是在該公司莫斯科與全球多處辦公室所屬員工持有的 iPhone 上發現該攻擊活動。據報該攻擊活動自 2019 年起就開始進行，且一直持續至今。

該攻擊活動係利用存於 iMessage 中的這兩個漏洞，且遭俄國情報單位指控這批漏洞為 Apple 公司與美國國家安全局刻意製作，用於監控數千台由俄國政府官員與該國駐以色列、中國、歐盟成員國的使館人員使用的 iPhone 手機之上，不過 Apple 已否認這種指控。

Apple 也在上周三緊急發表資安更新，修補包括這兩個 0-day 漏洞在內的多個 iOS 資安漏洞；Apple 也表示已經獲知這兩個漏洞已遭大規模用於針對 iOS 15.7 之前版本的攻擊之上。

受這兩個漏洞影響的 Apple 產品，包括 iPhone 8 和後續機型、iPad Pro（所有機型）、iPad Air（第 3 代）和後續機型、iPad（第 5 代）和後續機型，以及 iPad mini（第 5 代）和後續機型。

CISA 已將這兩個漏洞，連同其他近期發布的多個嚴重漏洞加入其 KEV 名單中，所有美國聯邦政府轄下民事與執行單位，都應在 7 月 4 日前完成修補。

建議建議各公私單位參考 CISA 不定期發布的最新 KEV 名單進行資安修補，以避免遭駭侵者透過已知但未及修補的各式資安漏洞發動攻擊。