Apple iPhoneおよびiPadデバイスの脆弱性（CVE-2019-8605）、iOS 12.4でSockPuppetの欠陥が再度導入される

Previously disclosed and patched flaw was reintroduced in iOS 12.4, which could be used in combination with a separate vulnerability to hack into Apple mobile devices.

最新情報：Apple released iOS 12.4.1 on August 26 to address the reintroduction of the SockPuppet vulnerability.

背景

8月18日に、人気のジェイルブレイクソフトウェアunc0verのバージョン3.5.0がリリースされました。以前にパッチが適用された脆弱性（CVE-2019-8605）がiOS 12.4で再導入されたため、このバージョンには、数年ぶりに署名されたAppleファームウェアのバージョンのジェイルブレイクが含まれています。

unc0ver v3.5.0 is NOW OUT with iOS 12.4 support for A7-A11 devices (Latest and signed firmware)!

GitHub releases: https://t.co/xwxRUDYbqj

Reddit post: https://t.co/PzpTCxCuIf

— Pwn20wnd is reviving 0-Days (@Pwn20wnd) August 18, 2019

分析

今年の初め、セキュリティ研究者のNed Williamsonは、iOSとmacOSの両方のXNUカーネルに「SockPuppet」と呼ばれる解放後使用の脆弱性( CVE-2019-8605)を発見し、報告しました。この脆弱性に対してAppleは、2019年5月にiOS 12.3でパッチを適用しています。

Here's the bug. Not entirely clear if this is powerful enough alone for tfp0, but I'm continuing to investigate and look for new bugs. https://t.co/GrrlNnOuNb

— nedwill (@NedWilliamson) May 20, 2019

2019年7月、WilliamsonはSockPuppetとSockPuppet2をリリースしました。これらは、「achieves kernel_task port」または「task_for_pid(0) (tfp0)」を可能にするエクスプロイトコードで、Appleデバイスにジェイルブレイクする手段として非常に人気があります。

2019年7月22日のiOS 12.4のリリースでは、SockPuppetの欠陥が過失的に再導入されたため、unc0verバージョン3.5.0に組み込まれ、iPhoneおよびiPadユーザーがiOSの最新の署名済みバージョンを実行しているデバイスをジェイルブレイクできるようになりました。unc0verバージョン3.5.1のその後の更新では、セキュリティ研究者のUmang Raghuvanshiが、iOS 12.4における「驚くべきエクスプロイトの信頼性」を提供するSockPuppetの独自のバリエーション（SockPuppet 3.0）を開発しました。

SockPuppetの脆弱性の再導入およびunc0verジェイルブレイクのリリースにより、特定のiOSバージョンを実行する特定のApple iPhoneおよびiPadデバイスは、ジェイルブレイクできる可能性があるだけでなく、攻撃者により悪用される可能性もあります。

i0n1cとして知られるセキュリティ研究者のStefan Esserは、悪意のあるアプリには「ジェイルブレイクのコピーが含まれている可能性がある」ため、ユーザーはApp Storeからアプリをダウンロードする際に注意する必要があると警告しています。

I hope people are aware that with a public jailbreak being available for the latest iOS 12.4 people must be very careful what Apps they download from the Apple AppStore. Any such app could have a copy of the jailbreak in it.

— Stefan Esser (@i0n1c) August 19, 2019

影響を受けるバージョン

以下は、SockPuppetの脆弱性とunc0verのジェイルブレイクの影響を受けるiOSバージョンとAppleデバイスのリストです。

unc0verの新しいリリースバージョン3.5.3には、iOS 12.1.3、12.1.4、12.2、12.4の一部のApple A12およびA12Xデバイスの「部分的なサポート」が含まれています。

概念実証

前述のように、SockPuppetおよびSockPuppet 2のエクスプロイトコードは2019年7月から利用可能であり、SockPuppet 3の更新されたエクスプロイトコードはunc0verバージョン3.5.1以降に含まれています。

ソリューション

Updated, Aug. 26: このブログが公開された時点では、再導入されたSockPuppetの脆弱性に対する新しいパッチはリリースされていません。However, Apple subsequently released iOS 12.4.1 on Aug. 26 to address the reintroduction of the SockPuppet vulnerability. Users running specific versions of iOS, such as 12.3, 12.3.1, 12.3.2 (iPhone 8 Plus) and 13 (beta releases) are not affected.

影響を受けているシステムの特定

Tenable製品は、モバイルデバイス管理（MDM）ソリューションと統合し、ベンダーの更新が適用されていないモバイルデバイスを検出します。パッチがリリースされると、脆弱なデバイスを特定するためのMDMプラグインのリストがリリースされるたびにこちらに表示されます。

詳細情報

• Project Zero Issue Tracker for CVE-2019-8605
• iOS 12.3リリース
• iOS 12.4リリース

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

Tenable.io60日間無料トライルを入手する。