Sicurezza informatica: sei nuove vulnerabilità nel catalogo dell'agenzia USA

L'Agenzia per la Sicurezza Informatica e la Sicurezza delle Infrastrutture degli Stati Uniti (CISA) ha recentemente aggiornato il suo catalogo di Vulnerabilità Conosciute e Sfruttate (KEV), inserendo sei nuovi difetti. La decisione è stata presa sulla base di evidenze di sfruttamento attivo delle vulnerabilità.

Tre vulnerabilità Apple, due in VMware e un difetto nei dispositivi Zyxel

Tra le nuove aggiunte, ci sono tre vulnerabilità che Apple ha corretto durante la settimana (CVE-2023-32434, CVE-2023-32435, e CVE-2023-32439), due in VMware (CVE-2023-20867 e CVE-2023-20887), e un difetto che affligge i dispositivi Zyxel (CVE-2023-27992). In particolare, le vulnerabilità CVE-2023-32434 e CVE-2023-32435, che consentono l'esecuzione di codice, sono state sfruttate come zero-day nel quadro di una campagna di cyber spionaggio iniziata nel 2019.

Il funzionamento dell'operazione Triangulation e gli attacchi zero-click

L'operazione Triangulation, così è stata ribattezzata l'attività di spionaggio, prevede l'impiego del malware TriangleDB, progettato per raccogliere un'ampia gamma di informazioni dai dispositivi compromessi, come la creazione, la modifica, la rimozione e il furto di file, l'elenco e la terminazione di processi, l'acquisizione delle credenziali di iCloud Keychain, e il tracciamento della posizione dell'utente. Il meccanismo di attacco inizia con l'invio di un iMessage con allegato un payload malevolo che si attiva automaticamente senza necessità di interazione da parte dell'utente, rendendolo un attacco zero-click. Come sottolineato dal report iniziale di Kaspersky, il messaggio malevolo è formato in modo anomalo e non genera allarmi o notifiche per l'utente.

L'Indagine di Kaspersky e le raccomandazioni alle Agenzie Federali Americane

Le vulnerabilità CVE-2023-32434 e CVE-2023-32435 sono solo due delle molte presenti in iOS che sono state sfruttate nell'attacco di spionaggio. Un'altra fra queste è la CVE-2022-46690, una vulnerabilità di alta gravità che, se sfruttata da un'app malevola, consente l'esecuzione di codice arbitrario con privilegi kernel. Apple ha corretto questo problema migliorando la validazione dell'input a dicembre 2022. Kaspersky, inoltre, ha segnalato che TriangleDB contiene caratteristiche non utilizzate che fanno riferimento a macOS e richieste di accesso al microfono, alla fotocamera e alla rubrica del dispositivo, che potrebbero essere sfruttate in futuro. L'indagine di Kaspersky sull'Operazione Triangulation è iniziata all'inizio dell'anno, quando ha rilevato la compromissione nella propria rete aziendale. In risposta a queste attività di sfruttamento, le agenzie del ramo esecutivo civile federale (FCEB) sono invitate a applicare le patch fornite dai fornitori per proteggere le proprie reti da possibili minacce.