Apple ha publicado parches de seguridad para abordar una vulnerabilidad de tipo zero-day que está siendo activamente explotada en iOS y iPadOS. Identificada como CVE-2023-42824, esta vulnerabilidad del kernel podría permitir a atacantes locales elevar sus privilegios. Apple ha rectificado el problema con controles mejorados y ha reconocido informes de explotación activa en versiones anteriores a iOS 16.6. Los detalles específicos de los ataques y las identidades de los actores de amenazas no se han divulgado. Es probable que una explotación exitosa requiera que los atacantes tengan un punto de inicio en el sistema.
Adicionalmente, la actualización de Apple aborda el CVE-2023-5217, que afecta al componente WebRTC. Esta vulnerabilidad, descrita por Google, es un desbordamiento de búfer basado en heap en el formato de compresión VP8 en libvpx. Los parches, iOS 17.0.3 e iPadOS 17.0.3, están disponibles para dispositivos incluyendo iPhone XS y posteriores, varios modelos de iPad Pro, iPad Air de 3ª generación y posteriores, iPad de 6ª generación y posteriores, y iPad mini de 5ª generación y posteriores.
Este año, Apple ha abordado 17 zero-days activamente explotados. Los últimos parches llegan dos semanas después de que Apple corrigiera tres vulnerabilidades (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993). Se informó que estas fueron explotadas por el vendedor de software espía israelí Cytrox para desplegar el malware Predator en el iPhone del exdiputado egipcio Ahmed Eltantawy. Cabe destacar que CVE-2023-41992 también es una vulnerabilidad del kernel que permite la escalada de privilegios. No está claro si CVE-2023-42824 está relacionado o es una solución temporal para CVE-2023-41992.
Un análisis reciente realizado por Sekoia descubrió similitudes de infraestructura entre los clientes de Cytrox y otra empresa de software espía, Candiru. Ambas podrían estar utilizando tecnologías de software espía similares. Sekoia señaló que la infraestructura de Lycantrox comprende VPS alojados en diversos sistemas autónomos. Se aconseja a los usuarios potencialmente en riesgo activar el Modo de Bloqueo para minimizar la exposición a tales exploits de software espía.
Source: The Hacker News
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.