O serie de vulnerabilități critice iOS au fost recent în centrul atenției Agenției pentru Securitatea Cibernetică și Infrastructurii (CISA), care a impus agențiilor federale să aplice patch-uri pentru trei astfel de vulnerabilități, exploatate în diverse campanii de hacking pe parcursul a zece luni. Aceste campanii au fost efectuate de trei grupuri distincte și au fost dezvăluite joi într-un raport publicat de Google.
Toate cele trei campanii au utilizat Coruna, un kit avansat de hacking care include 23 de vulnerabilități separate iOS, organizate în cinci lanțuri de exploit-uri puternice. Deși unele vulnerabilități fuseseră exploatate anterior ca zero-days în campanii nelegate, toate fuseseră remediate de Apple până când Google le-a observat exploatate de Coruna. Chiar și așa, kitul rămâne o amenințare serioasă când este folosit pe versiuni mai vechi de iOS, datorită calității superioare a codului de exploit și gamei largi de capabilități.
„Valoarea tehnică principală a acestui kit de exploit-uri constă în colecția sa completă de vulnerabilități iOS”, au scris cercetătorii Google. „Exploit-urile includ documentație extensivă, cu stringuri de documentație și comentarii redactate în engleză nativă. Cele mai avansate folosesc tehnici de exploatare nepublice și metode de ocolire a măsurilor de protecție.”
Vineri, CISA a adăugat trei dintre vulnerabilitățile exploatate în catalogul său de vulnerabilități cunoscute exploatate, cerând tuturor agențiilor federale sub autoritatea sa să aplice patch-uri. CISA a sfătuit de asemenea toate organizațiile să procedeze similar. Exploit-urile funcționează pe versiuni de iOS de la 13 la 17.2.1. Versiunile ulterioare la 17.2.1 nu sunt vulnerabile. De asemenea, exploit-urile nu se activează atunci când este activat Apple Lockdown sau când un browser este setat pe navigare privată.
Capabilitățile avansate ale Coruna includ un cadru JavaScript never seen before care folosește o metodă unică de ofuscare pentru a preveni detectarea și ingineria inversă. Când este activat, cadrul rulează un modul de fingerprinting pentru a colecta informații despre un dispozitiv. Pe baza rezultatelor, cadrul încarcă un exploit WebKit potrivit urmat de un bypass pentru o protecție cunoscută sub numele de pointer authentication code.
Coruna este notabil și pentru utilizarea sa de către trei grupuri distincte de hacking. Google a detectat prima dată utilizarea sa în februarie anul trecut într-o operațiune condusă de „un client al unui furnizor de supraveghere”. Vulnerabilitatea exploatată, urmărită ca CVE-2025-23222, fusese remediată cu 13 luni mai înainte. În iulie 2025, un „grup suspectat de spionaj rusesc” a exploatat CVE-2023-43000 în atacuri plasate pe site-uri frecventate de ținte ucrainene. În decembrie, când a fost utilizat de „un actor de amenințare cu motivație financiară din China”, Google a reușit să recupereze întregul kit de exploit-uri.
„Modul în care această proliferare a avut loc nu este clar, dar sugerează un piață activă pentru exploit-uri zero-day de ‘mâna a doua’”, au scris cercetătorii Google. „Dincolo de aceste exploit-uri identificate, mai mulți actori de amenințare au acum acces la tehnici avansate de exploatare care pot fi reutilizate și modificate cu vulnerabilități nou identificate.”
Sursa: Ars Tehnica Technology
Poll: Care sunt capabilitățile avansate ale kitului de hacking Coruna menționat în articol?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply