Apple respaldó el miércoles correcciones para una falta de seguridad en iOS, iPadOS y macOS Sonoma a versiones anteriores a posteriori de que se descubrió que se usaba como parte del kit de exploits Coruna.
La vulnerabilidad, rastreada como CVE-2023-43010se relaciona con una vulnerabilidad no especificada en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. El fabricante del iPhone dijo que el problema se solucionó mejorando el manejo.
“Esta alternativa asociada con el exploit Coruna se envió en iOS 17.2 el 11 de diciembre de 2023”, dijo Apple en un aviso. “Esta aggiornamento trae esa alternativa a los dispositivos que no pueden actualizarse a la última traducción de iOS”.
Apple lanzó originalmente las correcciones para CVE-2023-43010 en las siguientes versiones:
La última ronda de correcciones lo lleva a versiones anteriores de iOS y iPadOS.
- iOS 15.8.7 y iPadOS 15.8.7: iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera concepción), iPad Air 2, iPad mini (cuarta concepción) y iPod touch (séptima concepción)
- iOS 16.7.15 y iPadOS 16.7.15: iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª concepción, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª concepción
Es más, iOS 15.8.7 y iPadOS 15.8.7 incorporan parches para tres vulnerabilidades más asociadas con el exploit Coruna:
- CVE-2023-43000 (Solucionado originalmente en iOS 16.6, agresivo el 24 de julio de 2023): un problema de uso a posteriori de la libertad en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados.
- CVE-2023-41974 (Solucionado originalmente en iOS 17, agresivo el 18 de septiembre de 2023): un problema de uso a posteriori de la libertad en el kernel que podría permitir que una aplicación ejecute código improcedente con privilegios del kernel.
- CVE-2024-23222 (Solucionado originalmente en iOS 17.3 agresivo el 22 de enero de 2024): un problema de confusión de tipos en WebKit que podría provocar la ejecución de código improcedente al procesar contenido web creado con fines malintencionados.
Los detalles de Coruña surgieron a principios de este mes a posteriori de que Google dijera que el kit de exploits presenta 23 exploits en cinco cadenas diseñadas para apuntar a modelos de iPhone que ejecutan versiones de iOS entre 13.0 y 17.2.1. iVerify, que está rastreando el ámbito de malware que utiliza el kit de explotación bajo el nombre CryptoWaters, dijo que tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.
El incremento se produce en medio de informes de que Coruña probablemente fue diseñado por el contratista marcial estadounidense L3Harris y que Peter Williams, un ex administrador genérico de la compañía que fue sentenciado a más de siete abriles de prisión por traicionar varios exploits a cambio de fortuna, pudo haberlo pasado al corredor de exploits ruso Operation Zero.
Un aspecto interesante de Coruña es el uso de dos exploits (CVE-2023-32434 y CVE-2023-38606) que se utilizaron como armas de día cero en una campaña denominada Operación Triangulación dirigida a usuarios en Rusia en 2023. Kaspersky dijo a The Hacker News que es posible que cualquier equipo suficientemente capacitado cree sus propios exploits, cedido que los dos fallos tienen implementaciones disponibles públicamente.
“A pesar de nuestra extensa investigación, no podemos atribuir la Operación Triangulación a ningún colección APT conocido o empresa de incremento de exploits”, dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un correo electrónico.
“Para ser precisos: ni Google ni iVerify en su investigación publicada afirman que Coruña reutiliza el código de Triangulación. Lo que identifican es que dos exploits en Coruña – Photon y Gallium – apuntan a las mismas vulnerabilidades. Esa es una distinción importante. En nuestra opinión, la atribución no puede fundamentarse solamente en el hecho de la explotación de estas vulnerabilidades”.
