A CISA – Cybersecurity and Infrastructure Security Agency (EUA) alertou que uma falha de segurança corrigida do kernel que afeta iPhones, Macs, TVs e Apple Watches está sendo ativamente explorada em ataques. Rastreada como CVE-2022-48618 e descoberta pelos pesquisadores de segurança da Apple, a vulnerabilidade só foi divulgada em 9 de janeiro em uma atualização de um comunicado de segurança publicado em dezembro de 2022.
A CISA adicionou essa nova vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas , com base em evidências de exploração ativa. A CVE-2022-48618 Vulnerabilidade de autenticação inadequada de vários produtos Apple. Esses tipos de vulnerabilidades são vetores de ataque frequentes para ciberatores mal-intencionados e representam riscos significativos para as empresas federais.
A Diretiva Operacional Vinculante (BOD) 22-01: Reduzindo o Risco Significativo de Vulnerabilidades Exploradas Conhecidas estabeleceu o Catálogo de Vulnerabilidades Exploradas Conhecidas como uma lista viva de Vulnerabilidades e Exposições Comuns (CVEs) conhecidas que apresentam risco significativo. O BOD 22-01 exige que as agências do Poder Executivo Civil Federal (FCEB) corrijam as vulnerabilidades identificadas até a data de vencimento para proteger as redes contra ameaças ativas.
Embora o BOD 22-01 se aplique apenas às agências FCEB, a CISA insta fortemente todas as organizações a reduzirem a sua exposição a ataques cibernéticos, dando prioridade à remediação das vulnerabilidades do Catálogo como parte da sua prática de gestão de vulnerabilidades.
O CVE-2022-48618 foi resolvido com verificações aprimoradas. Este problema foi corrigido no macOS Ventura 13.1, watchOS 9.2, iOS 16.2 e iPadOS 16.2, tvOS 16.2. Um invasor com capacidade arbitrária de leitura e gravação pode ignorar a autenticação. A Apple está ciente de um relatório de que esse problema pode ter sido explorado em versões do iOS lançadas antes do iOS 15.7.1. A empresa ainda não revelou se a vulnerabilidade também foi corrigida silenciosamente há mais de dois anos, quando o comunicado foi emitido pela primeira vez. “Um invasor com capacidade arbitrária de leitura e gravação pode ignorar a autenticação Pointer”.
A Autenticação Pointer é um recurso de segurança projetado para bloquear ataques que tentam explorar bugs de corrupção de memória.
A lista de dispositivos afetados por esta falha é extensa e afeta modelos mais antigos e mais recentes, incluindo: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air de 3ª geração e posterior, iPad de 5ª geração e posterior e iPad mini de 5ª geração e posterior; Macs executando macOS Ventura; Apple TV 4K, Apple TV 4K (2ª geração e posterior) e Apple TV HD; Apple Watch Series 4 e posterior.
A Apple lançou atualizações de segurança para corrigir o primeiro bug de zero dia deste ano (CVE-2024-23222) explorado em ataques, um problema de confusão do WebKit que os invasores poderiam explorar para obter execução de código em iPhones, Macs e Apple TVs vulneráveis. No mesmo dia, a empresa também transferiu patches para modelos mais antigos de iPhone e iPad para mais dois dias zero do WebKit rastreados como CVE-2023-42916 e CVE-2023-42917 e corrigidos em novembro para dispositivos mais novos.
Agências federais têm que corrigir o problema até 21 de fevereiro.
