Μια επείγουσα προειδοποίηση σχετικά με τρία κρίσιμα τρωτά σημεία της Apple που οι απειλές εκμεταλλεύονται ενεργά στη φύση.
Αυτά τα ελαττώματα ασφαλείας, τα οποία εντοπίζονται επίσημα ως CVE-2025-31277, CVE-2025-43510 και CVE-2025-43520, προστέθηκαν πρόσφατα στον κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών (KEV) της CISA.
Οι ερευνητές ασφάλειας έχουν συνδέσει αυτή τη συγκεκριμένη τριάδα τρωτών σημείων με το εξελιγμένο DarkSword Αλυσίδα εκμετάλλευσης iOS, την οποία οι εισβολείς χρησιμοποιούν παράλληλα για να παραβιάσουν και να χειραγωγήσουν ένα ευρύ φάσμα συσκευών Apple.
Ο μηχανισμός εκμετάλλευσης του DarkSword
Η καμπάνια DarkSword βασίζεται στην αλυσίδα αυτών των τριών διακριτών τρωτών σημείων για την επίτευξη πλήρους συμβιβασμού του συστήματος. Η ακολουθία επίθεσης ξεκινά με το CVE-2025-31277, μια σοβαρή ευπάθεια υπερχείλισης buffer που επηρεάζει πολλά λειτουργικά συστήματα της Apple.
Αυτό το ελάττωμα εμφανίζεται όταν η συσκευή του στόχου επεξεργάζεται κακόβουλα δημιουργημένο περιεχόμενο ιστού, προκαλώντας άμεση καταστροφή της μνήμης στη μηχανή επεξεργασίας Ιστού.
Αυτό το αρχικό σημείο εισόδου παρέχει στους εισβολείς την απαραίτητη βάση για την εκτέλεση προκαταρκτικού αυθαίρετου κώδικα στη συσκευή του θύματος χωρίς να απαιτείται εκτεταμένη αλληλεπίδραση με τον χρήστη.
Μόλις δημιουργηθεί η αρχική πρόσβαση, η αλυσίδα εκμετάλλευσης αξιοποιεί το CVE-2025-43510 για να παρακάμψει τα εσωτερικά όρια ασφαλείας.
Αυτή η ευπάθεια προέρχεται από ακατάλληλο έλεγχο κατάστασης κλειδώματος, που οδηγεί σε σοβαρή καταστροφή της μνήμης κατά την οποία μια κακόβουλη εφαρμογή μπορεί να προκαλέσει απροσδόκητες αλλαγές στη μνήμη που μοιράζεται μεταξύ των διεργασιών.
Εκμεταλλευόμενοι αυτό το ελάττωμα, οι επιτιθέμενοι μπορούν χειραγωγούν κοινόχρηστο μνήμη για να αυξήσουν τα προνόμιά τους και να προετοιμάσουν το λειτουργικό σύστημα για να εκτελέσει το τελικό ωφέλιμο φορτίο.
Η αλυσίδα εκμετάλλευσης κορυφώνεται με την εκτέλεση του CVE-2025-43520. Αυτό το κρίσιμο ζήτημα καταστροφής της μνήμης επηρεάζει τον πυρήνα του λειτουργικού συστήματος.
Η εκμετάλλευση αυτής της τοπικής ευπάθειας επιτρέπει σε μια κακόβουλη εφαρμογή να γράψει απευθείας στη μνήμη του πυρήνα ή να προκαλέσει τον απροσδόκητο τερματισμό του συστήματος.
Με την απόκτηση πρόσβασης εγγραφής σε επίπεδο πυρήνα, οι φορείς απειλών αποκτούν πλήρη έλεγχο της παραβιασμένης συσκευής, παρακάμπτοντας τις εγγενείς προστασίες sandbox της Apple και επιτρέποντας την επίμονη επιτήρηση ή την εξαγωγή δεδομένων.
Το εύρος αυτής της αλυσίδας ευπάθειας είναι εξαιρετικά ευρύ, επηρεάζοντας σχεδόν ολόκληρο το σύγχρονο οικοσύστημα της Apple.
Επειδή τα υποκείμενα ευάλωτα στοιχεία χειρίζονται την επεξεργασία περιεχομένου ιστού και τις βασικές λειτουργίες του πυρήνα σε διαφορετικές πλατφόρμες, η απειλή εκτείνεται πολύ πέρα από τα κινητά τηλέφωνα.
Η λίστα προϊόντων που επηρεάζονται είναι πλήρης και περιλαμβάνει Apple Safari, iOS, watchOS, visionOS, iPadOS, macOS και tvOS.
Αυτός ο αντίκτυπος μεταξύ πλατφορμών σημαίνει ότι οι υπερασπιστές του δικτύου πρέπει να αξιολογούν επιθετικά ολόκληρο τον στόλο των εταιρικών και προσωπικών συσκευών τους για να αποτρέψουν πλευρικές μετακινήσεις ή παραβιάσεις δεδομένων.
Μετριασμούς
Για να αντιμετωπιστεί η ενεργός εκμετάλλευση αυτών των τρωτών σημείων, η CISA εξουσιοδοτεί τις ομοσπονδιακές υπηρεσίες και ενθαρρύνει ιδιαίτερα τους ιδιωτικούς οργανισμούς να αναλάβουν άμεση δράση.
Οι διαχειριστές συστήματος πρέπει να εφαρμόζουν τις πιο πρόσφατες μετριασμούς και ενημερώσεις ασφαλείας από την Apple, συμπεριλαμβανομένων των iOS 18.7.2, macOS Sequoia 15.7.2 και watchOS 26.1.
Εάν οι άμεσες ενημερώσεις κώδικα ή μετριασμούς δεν είναι διαθέσιμες για συγκεκριμένα παλαιού τύπου συστήματα, Η CISA συμβουλεύει ρητά τους οργανισμούς να διακόψουν τη χρήση του ευάλωτου προϊόντος για την αποφυγή πιθανού συμβιβασμού του δικτύου.
Σύμφωνα με την δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01, οι ομοσπονδιακές μη στρατιωτικές εκτελεστικές υπηρεσίες έχουν αυστηρή προθεσμία για την αποκατάσταση αυτών των τρωτών σημείων έως τις 3 Απριλίου 2026.
