VS verplicht overheidsinstanties om oude iOS-kwetsbaarheden te patchen
Amerikaanse overheidsinstanties moeten verschillende oude kwetsbaarheden in iOS en macOS voor 18 juli hebben gepatcht, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security besloten. Aanleiding is een recente blogpost van Google over aanvallen tegen Android- en iOS-gebruikers.
Onlangs meldde het techbedrijf dat smartphonegebruikers eind vorig jaar het doelwit waren geworden van aanvallen waarbij de aanvallers hulp kregen van de telecomprovider van de betreffende slachtoffers, die zich in Italië en Kazachstan bevonden. Op verzoek van de aanvallers besloot de telecomprovider de dataverbinding uit te schakelen, waarna de aanvallers een sms-bericht naar het doelwit stuurden waarin werd gesteld dat de gelinkte Vodafone-app geïnstalleerd moest worden om de dataverbinding te herstellen.
De malafide-app bevond zich niet in de Apple App Store, maar kon door middel van een enterprise-certificaat worden gesideload. Deze certificaten zijn voor driehonderd dollar bij Apple verkrijgbaar en zorgen ervoor dat iOS-apps buiten de controle van de App Store op iPhones zijn te installeren. Eenmaal geïnstalleerd maakte de malafide app misbruik van verschillende kwetsbaarheden om code met kernelrechten uit te voeren en zo volledige controle over het toestel te krijgen.
Het gaat om CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020-3837 en CVE-2021-30983. Voor vier van de vijf beveiligingslekken had Apple al updates uitgebracht. Op het moment dat de patches uitkwamen werd er volgens het techbedrijf geen misbruik van de softwarelekken gemaakt. Alleen in het geval van CVE-2021-30983, verholpen in iOS 15.2 en iPadOS 15.2, was er sprake van een zerodaylek en verscheen de update pas na ontdekking van de aanvallen.
Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bevat de vijf Apple-kwetsbaarheden, alsmede drie andere lekken. Amerikaanse overheidsinstanties moeten alle acht kwetsbaarheden voor 18 juli hebben gepatcht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.