La Agencia para la Seguridad de la Infraestructura Cibernética (CISA) ha ordenado a las agencias federales parchear tres vulnerabilidades críticas de iOS que fueron explotadas durante un periodo de 10 meses en campañas de hacking llevadas a cabo por tres grupos distintos. Estas campañas se dieron a conocer el jueves, según informó Google. Todas las tres campañas utilizaron Coruna, el nombre del sofisticado kit de hacking que agrupó 23 explotaciones individuales de iOS en cinco cadenas de explotación poderosas. Aunque algunas de estas vulnerabilidades habían sido explotadas como días cero en campañas anteriores y distintas, todas habían sido parcheadas antes de que Google las observara siendo explotadas por Coruna. A pesar de esto, cuando se utilizaron contra versiones más antiguas de iOS, el kit seguía representando una amenaza significativa debido a la alta calidad del código de explotación y su amplio rango de funcionalidades.
El valor técnico central de este kit de explotaciones radica en su extensa colección de explotaciones de iOS, según los investigadores de Google. Las explotaciones incluyen documentación detallada, con docstrings y comentarios escritos completamente en inglés. Algunas de las más avanzadas utilizan técnicas de explotación no públicas y superan defensas como el código de autenticación de punteros.
El viernes, CISA añadió tres de estas vulnerabilidades a su lista de conocidas vulnerabilidades explotadas. Esta entrada requiere que todas las agencias federales bajo la autoridad de CISA parcheen estas vulnerabilidades. CISA también recomendó a otras organizaciones hacer lo mismo. Las explotaciones funcionan en versiones de iOS 13 hasta 17.2.1; las versiones más allá de 17.2.1 no son vulnerables. Las explotaciones no activan cuando se habilita el modo Apple Lockdown o si un navegador está configurado para navegación privada.
Las capacidades avanzadas de Coruna incluyen un marco de JavaScript novel que utiliza métodos únicos de obfuscación para evadir la detección y el análisis inverso. Al ser activado, este marco ejecuta un módulo de fingerprinting para recoger información sobre el dispositivo. Basándose en estos resultados, carga una explotación WebKit adecuada seguida por un paso para superar el código de autenticación de punteros.
Coruna es notorio por su uso por tres grupos de hacking distintos. Google detectó su uso por primera vez en febrero del año pasado durante una operación llevada a cabo por