Агентство кибербезопасности и безопасности инфраструктуры приказало федеральным агентствам исправить три критические уязвимости iOS, которые использовались в течение 10 месяцев в хакерских кампаниях, проводимых тремя отдельными группами.
О хакерских кампаниях стало известно в четверг в отчете, опубликованном Google. Во всех трех кампаниях использовалась Coruna — название продвинутого хакерского набора, который объединил 23 отдельных эксплойта для iOS в пять мощных цепочек эксплойтов. Хотя некоторые из уязвимостей использовались как нулевые дни в более ранних, несвязанных кампаниях, все они были исправлены к тому времени, когда Google заметил, что их использует Coruna. Тем не менее, при использовании против старых версий iOS этот комплект представлял собой серьезную угрозу, учитывая высокий уровень кода эксплойта и широкий спектр возможностей.
Случай с беспорядочными подержанными нулевыми днями
«Основная техническая ценность этого набора эксплойтов заключается в его обширной коллекции эксплойтов для iOS», — пишут исследователи Google. "Эксплойты содержат обширную документацию, включая строки документации и комментарии, написанные на родном английском языке. Наиболее продвинутые из них используют закрытые методы эксплуатации и обходные пути смягчения последствий".
В пятницу CISA добавила три уязвимости в свой каталог известных эксплуатируемых уязвимостей. Запись требует, чтобы все федеральные агентства, находящиеся в ведении CISA, исправили уязвимости. CISA далее посоветовала всем организациям сделать то же самое. Эксплойты работают на версиях iOS с 13 по 17.2.1. Версии выше 17.2.1 не уязвимы. Эксплойты также не срабатывают, когда активирован Apple Lockdown или в браузере установлен режим приватного просмотра.
Расширенные возможности Coruna включают в себя невиданную ранее среду JavaScript, которая использует уникальный метод запутывания для предотвращения обнаружения и обратного проектирования. При активации платформа запускает модуль снятия отпечатков пальцев для сбора информации об устройстве. Основываясь на результатах, платформа затем загрузит подходящий эксплойт WebKit, а затем обойдет защиту, известную как код аутентификации указателя.