Cyberthreat.id - Badan Keamanan Siber & Infrastruktur AS (CISA), Senin (22/5/2023), memerintahkan agen federal untuk mengatasi tiga kelemahan zero-day yang baru-baru ini ditambal yang memengaruhi iPhone, Mac, dan iPad yang diketahui dieksploitasi dalam serangan.

Bug keamanan dilacak sebagai CVE-2023-32409, CVE-2023-28204, dan CVE-2023-32373, semuanya ditemukan di mesin browser WebKit. Seluruh bug tersebut membuka ruang untuk penyerang keluar dari kotak pasir browser, mengakses informasi sensitif pada perangkat yang disusupi, dan mencapai eksekusi kode arbitrer setelah eksploitasi berhasil.

"Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif," kata perusahaan itu saat menjelaskan kekurangannya sebagaimana dikutip BleepingComputer.

Tiga zero-day ditangani di macOS Ventura 13.4, iOS dan iPadOS 16.5, tvOS 16.5, watchOS 9.5, dan Safari 16.5 dengan pemeriksaan batas yang ditingkatkan, validasi input, dan manajemen memori.

Daftar lengkap perangkat yang terpengaruh cukup luas, dan mencakup yang berikut ini:

• iPhone 6s (semua model), iPhone 7 (semua model), iPhone SE (generasi ke-1), iPad Air 2, iPad mini (generasi ke-4), iPod touch (generasi ke-7), dan iPhone 8 dan lebih baru
• iPad Pro (semua model), iPad Air generasi ke-3 dan lebih baru, iPad generasi ke-5 dan lebih baru, dan iPad mini generasi ke-5 dan lebih baru
• Mac menjalankan macOS Big Sur, Monterey, dan Ventura
• Apple Watch Seri 4 dan lebih baru
• Apple TV 4K (semua model) dan Apple TV HD

Dieksploitase dalam Serangan Spyware

Meskipun Apple belum memberikan detail spesifik tentang serangan di mana bug telah disalahgunakan, terungkap bahwa CVE-2023-32409 dilaporkan oleh Clément Lecigne dari Grup Analisis Ancaman Google dan Donncha Ó Cearbhaill dari Lab Keamanan Amnesty International.

Kedua peneliti dan organisasi masing-masing sering mengungkapkan informasi tentang kampanye yang disponsori negara yang mengeksploitasi kerentanan zero-day untuk memasang spyware pengawasan pada perangkat politisi, jurnalis, pembangkang, dan individu lain dalam serangan yang sangat tertarget.

Misalnya, mereka mengungkapkan pada bulan Maret detail tentang dua kampanye baru-baru ini menggunakan rantai eksploit kompleks kelemahan Android, iOS, dan Chrome untuk memasang spyware bayaran, salah satunya adalah cacat bypass Samsung ASLR yang diperingatkan CISA pada hari Jumat.

Batas waktu tambalan 12 Juni

Sesuai dengan arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada November 2022, Federal Civilian Executive Branch Agencies (FCEB) harus menerapkan tambalan ke sistem mereka untuk semua bug keamanan yang tercantum dalam katalog CISA's Known Exploited Vulnerabilities.

Dengan pembaruan hari ini, agensi FCEB diwajibkan untuk mengamankan perangkat iOS, iPadOS, dan macOS mereka sebelum 12 Juni 2023.

Meskipun terutama ditargetkan pada agen federal AS, sangat disarankan agar perusahaan swasta juga memberikan prioritas tinggi untuk memperbaiki kerentanan yang terdapat dalam daftar KEV bug yang dieksploitasi dalam serangan.

"Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku dunia maya berbahaya dan menimbulkan risiko signifikan bagi perusahaan federal," kata CISA, Senin.

Pada bulan April, agen federal juga diperingatkan untuk mengamankan iPhone dan Mac di jaringan mereka terhadap sepasang kelemahan keamanan iOS dan macOS lainnya yang dilaporkan oleh peneliti keamanan Google TAG dan Amnesty International.[]