Apple reveló y corrigió dos vulnerabilidades de día cero en macOS Sequoia que han sido explotadas en estado salvaje.
En una actualización de seguridad publicada el martes, Apple reveló y lanzó parches para dos vulnerabilidades de día cero, rastreadas como CVE-2024-44308 y CVE-2024-44309, que se solucionaron en macOS Sequoia versión 15.1.1. Apple le dio crédito a Clément Lecigne y Benoît Sevens, ingenieros de seguridad del Threat Analysis Group (TAG) de Google, por descubrir ambas fallas.
Ambas fallas se activan cuando los usuarios interactúan con una página web maliciosa. La explotación de CVE-2024-44308 podría dar lugar a la ejecución de código arbitrario, y los actores de amenazas que exploten CVE-2024-44309 podrían realizar ataques de secuencias de comandos entre sitios.
“Apple está al tanto de un informe que indica que este problema puede haber sido explotado activamente en sistemas Mac basados en Intel”, escribió Apple en el aviso de seguridad para ambas fallas.
Apple dijo que abordó CVE-2024-44308, que los investigadores de TAG descubrieron en JavaScriptCore, con comprobaciones mejoradas. Los investigadores encontraron CVE-2024-44309 en WebKit. Apple determinó que se trataba de un problema de cookies y lo solucionó mejorando la gestión del estado. Apple normalmente proporciona información limitada en los avisos de seguridad, por lo que se desconoce el alcance de la actividad de explotación y los detalles técnicos de las vulnerabilidades.
Las vulnerabilidades se solucionaron en Safari 18.1.1, iOS 17.7.2, iPadOS 17.7.2, macOS Sequoia 15.1.1, iOS 18.1.1, iPadOS 18.1.1 y visionOS 2.1.1, según una publicación del blog de Tenable.
Satnam Narang, ingeniero senior de investigación de Tenable, dijo a Editorial que Apple es conocida por proporcionar detalles técnicos limitados en sus avisos. Sin embargo, destacó un aspecto del aviso de Apple.
“El único aspecto interesante de estos dos días cero es que los avisos señalaban la explotación específicamente de los sistemas Mac basados en Intel, que ahora se consideran productos heredados de Apple. Apple cambió a su propio silicio Apple a finales de 2020”, dijo Narang. “Por lo general, la explotación de vulnerabilidades de día cero es parte de ataques limitados y dirigidos. Cuando se agrega que estos fueron atribuidos a investigadores del Grupo de Análisis de Amenazas de Google, que a menudo tienen la tarea de investigar ataques dirigidos, se respalda esa hipótesis. Hasta el Análisis de Amenazas de Google Si el grupo publica su propia investigación sobre los ataques, no sabremos más que lo que hay en los avisos”.
Varias empresas de ciberseguridad han notado un aumento en los ataques basados en Mac este año. El mes pasado, el proveedor de seguridad Trellix publicó una entrada de blog titulada “MacOS Malware surge a medida que crece el uso corporativo”. Los investigadores de Trellix citaron un cambio observado en el panorama del malware para Mac en los últimos años a medida que más organizaciones adoptan dispositivos macOS.
Trellix advirtió que la nueva tendencia ha llamado la atención de una variedad de ciberdelincuentes y actores de amenazas persistentes avanzadas. La publicación del blog nombró al Grupo Lazarus, un grupo APT de Corea del Norte, como uno que ha cambiado su enfoque para apuntar a macOS a medida que aumenta el uso.
Laura Brosnan, especialista senior en seguridad de la información de Red Canary, también publicó una entrada de blog el mes pasado sobre la tendencia al alza. Al igual que Trellix, Brosnan dijo que los adversarios apuntan cada vez más a los dispositivos macOS a medida que se utilizan más ampliamente entre las organizaciones. Destacó un aumento en el malware para Mac, incluidos Atomic Stealer, Poseidon Stealer y Cthulhu Stealer.
“De hecho, muchas personas todavía creen que macOS es inmune al malware, una idea errónea peligrosa”, escribió Brosnan en la publicación del blog. “Sin embargo, 2024 ha hecho añicos esa ilusión”.
SentinelOne publicó una publicación de blog sobre un nuevo ataque dirigido a empresas relacionadas con criptomonedas que utilizan Mac a principios de este mes. Al igual que Trellix, los investigadores de SentinelLabs evaluaron que la actividad está relacionada con actores de amenazas afiliados a Corea del Norte. Observaron una tendencia preocupante pero constante a lo largo de la campaña en la que los actores de amenazas manipularon cuentas válidas de desarrolladores de Apple para que Apple certificara ante notario su malware y así eludir los productos de seguridad integrados.
“A la luz de esto y del aumento general del crimeware de macOS observado en la industria de la seguridad, alentamos a todos los usuarios de macOS, pero particularmente a aquellos en entornos organizacionales, a reforzar su seguridad y aumentar su conciencia sobre los riesgos potenciales”, escribió SentinelLabs en la publicación del blog. .
Arielle Waldman es redactora de noticias para Editorial y cubre seguridad empresarial.