Apple publicó el miércoles parches para una vulnerabilidad de seguridad en iOS, iPadOS y macOS Sonoma, destinados a versiones anteriores del sistema operativo, después de que se descubriera que la falla estaba siendo explotada como parte del kit de exploits Coruna.
La vulnerabilidad, identificada como CVE-2023-43010, está relacionada con un problema no especificado en WebKit que podría provocar corrupción de memoria al procesar contenido web maliciosamente diseñado. La compañía de Cupertino indicó que el problema se solucionó mediante una mejora en el manejo de la memoria.
"Esta corrección asociada con el kit de exploits Coruna se implementó en iOS 17.2 el 11 de diciembre de 2023", afirmó Apple en un aviso. "Esta actualización lleva esa corrección a los dispositivos que no pueden actualizar a la última versión de iOS".
Las correcciones para CVE-2023-43010 fueron lanzadas originalmente por Apple en las siguientes versiones:
- iOS 17.2 y iPadOS 17.2
- macOS Sonoma 14.2
- Safari 17.2
La nueva ronda de parches extiende la protección a versiones anteriores de iOS y iPadOS:
- iOS 15.8.7 y iPadOS 15.8.7: iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación) y iPod touch (7.ª generación)
- iOS 16.7.15 y iPadOS 16.7.15: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Además, iOS 15.8.7 y iPadOS 15.8.7 incluyen parches para otras tres vulnerabilidades asociadas con el kit de exploits Coruna:
- CVE-2023-43000 (corregido originalmente en iOS 16.6, lanzado el 24 de julio de 2023): un problema de use-after-free en WebKit que podría provocar corrupción de memoria al procesar contenido web malicioso.
- CVE-2023-41974 (corregido originalmente en iOS 17, lanzado el 18 de septiembre de 2023): un problema de use-after-free en el kernel que podría permitir que una aplicación ejecute código arbitrario con privilegios del kernel.
- CVE-2024-23222 (corregido originalmente en iOS 17.3, lanzado el 22 de enero de 2024): un problema de confusión de tipos en WebKit que podría permitir la ejecución de código arbitrario al procesar contenido web malicioso.
Los detalles sobre Coruna salieron a la luz a principios de este mes, después de que Google informara que el kit de exploits incluye 23 exploits distribuidos en cinco cadenas diseñadas para atacar modelos de iPhone con versiones de iOS entre 13.0 y 17.2.1. iVerify, que rastrea el marco de malware que utiliza el kit de exploits bajo el nombre CryptoWaters, señaló que tiene similitudes con marcos desarrollados anteriormente por actores de amenazas afiliados al gobierno de Estados Unidos.
Este desarrollo se produce en medio de especulaciones de que Coruna probablemente fue diseñado por el contratista militar estadounidense L3Harris y que pudo haber sido transferido al corredor de exploits ruso Operation Zero por Peter Williams, exgerente general de la compañía que fue condenado a más de siete años de prisión el mes pasado por vender varios exploits a cambio de dinero.
Un aspecto interesante de Coruna es el uso de dos exploits (CVE-2023-32434 y CVE-2023-38606) que fueron utilizados como vulnerabilidades de día cero en una campaña denominada Operation Triangulation dirigida a usuarios en Rusia en 2023. Kaspersky declaró a The Hacker News que es posible que cualquier equipo con suficiente habilidad cree sus propios exploits, dado que ambas fallas tienen implementaciones disponibles públicamente.
"A pesar de nuestra extensa investigación, no podemos atribuir Operation Triangulation a ningún grupo APT conocido o empresa de desarrollo de exploits", dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un correo electrónico. "Para ser precisos: ni Google ni iVerify afirman en sus investigaciones publicadas que Coruna reutilice el código de Triangulation. Lo que identifican es que dos exploits en Coruna — Photon y Gallium — apuntan a las mismas vulnerabilidades. Esa es una distinción importante. En nuestra opinión, la atribución no puede basarse únicamente en el hecho de la explotación de estas vulnerabilidades".
