CISAは、スパイウェアをドロップするために悪用されたバグにパッチを当てるよう機関に命令します

Cybersecurity and Infrastructure Security Agency (CISA) は本日、最近の攻撃でゼロデイとして悪用されたセキュリティの脆弱性にパッチを適用し、商用のスパイウェアをモバイル デバイスにインストールするように連邦政府機関に命じました。

Google の脅威分析グループ (TAG) が最近明らかにしたように、問題の欠陥は、Android と iOS のユーザーを標的とした2 つの別々の標的を絞ったキャンペーンの複数のエクスプロイト チェーンの一部として悪用されました。

2022 年 11 月に発見された最初の一連の攻撃では、攻撃者は個別のエクスプロイト チェーンを使用して iOS および Android デバイスを侵害しました。

1 か月後、複数の 0-day と n-day の複雑なチェーンが悪用され、最新の Samsung Internet Browser バージョンを実行している Samsung Android スマートフォンが標的にされました。

エンド ペイロードは、多数のチャット アプリやブラウザ アプリからデータを解読して抽出できる Android 用のスパイウェア スイートでした。

Google TAG の Clément Lecigne 氏によると、どちらのキャンペーンも標的を絞っており、攻撃者は「修正プログラムがリリースされてからエンドユーザーのデバイスに完全に展開されるまでの大きな時間差を利用した」とのことです。

Google TAG の発見は、アムネスティ インターナショナルのセキュリティ ラボによって共有された調査結果によって促進され、攻撃で使用されたドメインとインフラストラクチャに関する詳細も公開されました。

CISA は本日、2 つのスパイウェア キャンペーンで使用された 10 の脆弱性のうち 5 つを、Known Exploited Vulnerabilities (KEV) カタログに追加しました。

• CVE-2021-30900 Apple iOS、iPadOS、および macOS の境界外書き込みの脆弱性
• CVE-2022-38181 Arm Mali GPU カーネル ドライバーの Use-After-Free 脆弱性
• CVE-2023-0266 Linux カーネルの Use-After-Free 脆弱性
• CVE-2022-3038 Google Chrome Use-After-Free の脆弱性
• CVE-2022-22706 Arm Mali GPU カーネル ドライバーの詳細不明の脆弱性

サイバーセキュリティ機関は、4 月 20 日までの 3 週間を連邦民間行政機関 (FCEB) 機関に与え、これら 5 つのセキュリティ上の欠陥を標的とする潜在的な攻撃に対して脆弱なモバイル デバイスにパッチを適用しました。

2021 年 11 月に発行されたBOD 22-01 拘束力のある運用指令によると、FCEB 機関は、攻撃で悪用されることが知られている CISA の脆弱性のリストに追加されたすべてのバグからネットワークを保護する必要があります。

BOD 22-01 指令は FCEB 機関にのみ適用されますが、CISA は本日、悪用の試みを阻止するためにこれらのバグを優先的に梱包するようすべての組織に強く要請しました。

「これらのタイプの脆弱性は、悪意のあるサイバー アクターによる頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と CISA は警告しています。