Apple está instando a los usuarios que todavía ejecutan una versión obsoleta de iOS a actualizar sus iPhones para protegerlos contra ataques basados ​​en web llevados a cabo a través de potentes kits de exploits como Coruna y DarkSword.

Estos ataques emplean contenido web malicioso para atacar versiones obsoletas de iOS, lo que desencadena una cadena de infección que conduce al robo de datos confidenciales.

«Por ejemplo, si estás usando una versión anterior de iOS y haces clic en un enlace malicioso o visitas un sitio web comprometido, los datos de tu iPhone podrían correr el riesgo de ser robados», Apple dicho en un documento de soporte.

«Investigamos exhaustivamente estos problemas a medida que fueron encontrados y lanzamos actualizaciones de software lo más rápido posible para las versiones más recientes del sistema operativo para abordar las vulnerabilidades e interrumpir dichos ataques».

Los usuarios que ya tienen la última versión del software del iPhone no necesitan realizar ninguna acción. Esto incluye las versiones de iOS 15 a 26, que vienen con correcciones para las diversas fallas de seguridad utilizadas por los kits de exploits. Para otros, Apple recomienda el siguiente curso de acción:

«Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados», señaló Cupertino.

El aviso de Apple llega a raíz de informes recientes sobre dos exploits de iOS que han sido utilizados por múltiples actores de amenazas con diversas motivaciones para robar datos confidenciales de dispositivos comprometidos. Estos kits se entregan a través de un ataque de abrevadero a través de sitios web comprometidos.

iVerify dijo que los descubrimientos muestran que las vulnerabilidades de iOS, de las que alguna vez se abusó para atacar selectivamente a individuos en ataques de software espía móvil patrocinados por el estado, están siendo explotadas a gran escala por otros actores de amenazas.

«La relativa simplicidad de implementación del exploit, junto con su rápida adopción por parte de múltiples actores de amenazas en múltiples países, indica que estas poderosas herramientas ahora están disponibles en el mercado secundario para actores menos sofisticados», Spencer Parker, director de productos de iVerify, dichoy agregó que «la explotación móvil a nivel de estado-nación ahora está disponible para ataques masivos».

«Esto representa un nuevo nivel de escala, lo que hace que los ataques móviles generalizados sean una preocupación crítica e inevitable para todas las empresas. La evidencia confirma que estos exploits son fáciles de reutilizar y reimplementar, lo que hace muy probable que las implementaciones modificadas estén infectando activamente a los usuarios sin parches».

Apple respaldó el miércoles correcciones para una falla de seguridad en iOS, iPadOS y macOS Sonoma a versiones anteriores después de que se descubrió que se usaba como parte del kit de exploits Coruna.

La vulnerabilidad, rastreada como CVE-2023-43010se relaciona con una vulnerabilidad no especificada en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. El fabricante del iPhone dijo que el problema se solucionó mejorando el manejo.

«Esta solución asociada con el exploit Coruna se envió en iOS 17.2 el 11 de diciembre de 2023», dijo Apple en un aviso. «Esta actualización trae esa solución a los dispositivos que no pueden actualizarse a la última versión de iOS».

Apple lanzó originalmente las correcciones para CVE-2023-43010 en las siguientes versiones:

La última ronda de correcciones lo lleva a versiones anteriores de iOS y iPadOS.

• iOS 15.8.7 y iPadOS 15.8.7 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación)
• iOS 16.7.15 y iPadOS 16.7.15 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación

Es más, iOS 15.8.7 y iPadOS 15.8.7 incorporan parches para tres vulnerabilidades más asociadas con el exploit Coruna:

• CVE-2023-43000 (Solucionado originalmente en iOS 16.6, lanzado el 24 de julio de 2023): un problema de uso después de la liberación en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados.
• CVE-2023-41974 (Solucionado originalmente en iOS 17, lanzado el 18 de septiembre de 2023): un problema de uso después de la liberación en el kernel que podría permitir que una aplicación ejecute código arbitrario con privilegios del kernel.
• CVE-2024-23222 (Solucionado originalmente en iOS 17.3 lanzado el 22 de enero de 2024): un problema de confusión de tipos en WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.

Los detalles de Coruña surgieron a principios de este mes después de que Google dijera que el kit de exploits presenta 23 exploits en cinco cadenas diseñadas para apuntar a modelos de iPhone que ejecutan versiones de iOS entre 13.0 y 17.2.1. iVerify, que está rastreando el marco de malware que utiliza el kit de explotación bajo el nombre CryptoWaters, dijo que tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

El desarrollo se produce en medio de informes de que Coruña probablemente fue diseñado por el contratista militar estadounidense L3Harris y que Peter Williams, un ex gerente general de la compañía que fue sentenciado a más de siete años de prisión por vender varios exploits a cambio de dinero, pudo haberlo pasado al corredor de exploits ruso Operation Zero.

Un aspecto interesante de Coruña es el uso de dos exploits (CVE-2023-32434 y CVE-2023-38606) que se utilizaron como armas de día cero en una campaña denominada Operación Triangulación dirigida a usuarios en Rusia en 2023. Kaspersky dijo a The Hacker News que es posible que cualquier equipo suficientemente capacitado cree sus propios exploits, dado que ambos fallos tienen implementaciones disponibles públicamente.

«A pesar de nuestra extensa investigación, no podemos atribuir la Operación Triangulación a ningún grupo APT conocido o empresa de desarrollo de exploits», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un correo electrónico.

«Para ser precisos: ni Google ni iVerify en su investigación publicada afirman que Coruña reutiliza el código de Triangulación. Lo que identifican es que dos exploits en Coruña – Photon y Gallium – apuntan a las mismas vulnerabilidades. Esa es una distinción importante. En nuestra opinión, la atribución no puede basarse únicamente en el hecho de la explotación de estas vulnerabilidades».