CISA ordena a las agencias federales actualizar los iPhone

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una nueva falla a su catálogo de vulnerabilidades explotadas en la naturaleza, un error de ejecución remota de código Apple WebKit que se usa para atacar iPhones, iPads y Macs.

De acuerdo con la directiva operativa vinculante (BOD 22-01) emitida por CISA en noviembre, las agencias federales ahora deben parchear sus sistemas contra esta vulnerabilidad explotada activamente que afecta a los dispositivos iOS, iPadOS y macOS.

CISA dijo que todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben parchear la vulnerabilidad rastreada como CVE-2022-22620 hasta el 25 de febrero de 2022.

"Este tipo de vulnerabilidades son un vector de ataque frecuente para los actores cibernéticos maliciosos de todo tipo y representan un riesgo significativo para la empresa federal", dijo la agencia de seguridad cibernética.

"Aunque BOD 22-01 solo se aplica a las agencias de FCEB, CISA insta encarecidamente a todas las organizaciones a reducir su exposición a los ataques cibernéticos al priorizar la remediación oportuna de las vulnerabilidades del Catálogo como parte de su práctica de gestión de vulnerabilidades".

Ayer, CISA también solicitó a las agencias de FCEB que corrigieran otras 15 vulnerabilidades etiquetadas como bajo explotación activa, con CVE-2021-36934, un error de Microsoft Windows SAM (Administrador de cuentas de seguridad) que permite la escalada de privilegios y el robo de credenciales, que tiene una fecha límite de parche del 24 de febrero.

Tercer día cero parcheado por Apple este año

El CVE-2022-22620 es el tercer día cero que Apple ha parcheado desde principios de 2022 y es un problema de WebKit Use After Free que se puede explotar para fallas del sistema operativo y ejecución de código en dispositivos vulnerables.

La explotación exitosa permite a los atacantes ejecutar código arbitrario en iPhones, iPads y Macs después de abrir páginas web creadas con fines malintencionados mediante Safari.

"En particular, todos los navegadores para iOS y iPadOS se basan en este motor de código abierto, es decir, no solo el Safari predeterminado de iPhone, sino también Google Chrome, Mozilla Firefox y cualquier otro", dijo hoy Kaspersky. "Entonces, incluso si no usa Safari, esta vulnerabilidad aún lo afecta directamente".

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente", agregó la compañía al describir el día cero.

Apple ha abordado la vulnerabilidad mejorando la gestión de la memoria en iOS 15.3.1, iPadOS 15.3.1 y macOS Monterey 12.2.1.

La lista completa de dispositivos afectados es bastante extensa e incluye iPhone 6s y posteriores, varios modelos de iPad y Mac con macOS Monterey.

Aunque es probable que esta falla solo se haya utilizado en una pequeña cantidad de ataques dirigidos, aún se recomienda encarecidamente instalar las actualizaciones lo antes posible para bloquear posibles intentos de ataque, tal como CISA instó hoy.

En enero, Apple también parchó otros dos días cero explotados activamente que pueden permitir a los atacantes rastrear la actividad de navegación y las identidades de los usuarios en tiempo real (CVE-2022-22594) y obtener la ejecución de código arbitrario con privilegios de kernel (CVE-2022-22587).

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta