Vunlerabilidad para iPhone (Zero-Click, Zero-Day) BLASTPASS de NSO Group

8 septiembre, 2023

La semana pasada, mientras revisaba el dispositivo de un individuo empleado por una organización de la sociedad civil con sede en Washington DC con oficinas internacionales, Citizen Lab encontró una vulnerabilidad de cero clic activamente explotada que se utilizaba para entregar el software espía mercenario Pegasus de NSO Group.

La cadena de explotación BLASTPASS

Nos referimos a la cadena de exploits como BLASTPASS. La cadena de exploits fue capaz de comprometer iPhones que ejecutaban la última versión de iOS (16.6) sin ninguna interacción por parte de la víctima.

El exploit involucró archivos adjuntos PassKit que contenían imágenes maliciosas enviadas desde una cuenta de iMessage del atacante a la víctima.

Esperamos publicar una discusión más detallada sobre la cadena de exploits en el futuro.

Disclosure de Apple & CVEs

Apple emitió dos CVE relacionados con esta cadena de exploits (CVE-2023-41064 y CVE-2023-41061)

Instamos a todos a actualizar inmediatamente sus dispositivos.

Fuente: citizenlab.ca (September 7, 2023). BLASTPASS NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/

Vunlerabilidad para iPhone (Zero-Click, Zero-Day) BLASTPASS de NSO Group

La cadena de explotación BLASTPASS

Disclosure de Apple & CVEs

Vulnerabilidad generalizada en PLCs de Siemens podría conducir a un ataque similar a Stuxnet

Millones de vehículos en riesgo: revelan vulnerabilidades en APIs de reconocidas marcas de automóviles

Filtran los datos robados de 5.4 millones de usuarios de Twitter

Adquiere tu Membresía Anual Wiser