Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) arra szólítja fel a szövetségi ügynökségeket (FCEB), hogy javítsák azokat a zero-day sérülékenységeket, amely más sebezhetőségekkel együtt, ún. sérülékenység kihasználási lánc részeként felhasználva, lehetővé teszik kereskedelmi kémprogramok mobileszközökre történő telepítését.
A Google Fenyegetéselemző Csoportja (TAG) által felfedezett sebezhetőségeket, több sérülékenység együttes kihasználási folyamatának részeként használják fel a kiberbűnözők. A 2022 novemberében észlelt első támadási hullám során két különböző, Android és iOS felhasználókat célzó kampányhoz használták ki a sérülékenységeket, majd egy hónappal később a támadók a legfrissebb internetböngészőt futtató Samsung telefonokat vettek célba.
A két kémprogram kampányban kihasznált sebezhetőségek (összesen 10 db) bekerültek a CISA által vezetett ismert sérülékenységek listájára is. A szövetségi ügynökségeknek közel három hét áll rendelkezésükre, hogy a CISA által kijelölt határidőig, április 20-ig javítsák a biztonsági hibákat és megvédjék a mobileszközöket az alábbi sérülékenységeket kihasználó potenciális támadásokkal szemben.
- CVE-2021-30900 Apple iOS, iPadOS és macOS Out-of-Bounds biztonsági rés,
- CVE-2022-38181 Arm Mali GPU Kernel Driver Use-After-Free (UAF) sérülékenység,
- CVE-2023-0266 Linux Kernel Use-After-Free (UAF) sérülékenység,
- CVE-2022-3038 Google Chrome Use-After-Free (UAF) sérülékenység,
- CVE-2022-22706 Arm Mali GPU Kernel Driver Unspecified (Nem részletezett) sérülékenység.
Bár a BOD 22-01-es kiadásának érelmében a CISA felszólítása kizárólag a FCEB ügynökségekre vonatkozik, az összes szervezet számára ajánlott a sérülékeny mobileszközök felülvizsgálata és szükség szerinti javítása.
