Actualizaciones de seguridad de Apple para dispositivos iOS antiguos frente a Coruna
Publicado el
Apple ha emitido recientemente actualizaciones de seguridad para versiones anteriores de iOS y iPadOS, en respuesta a una vulnerabilidad crítica que se ha detectado en el kit de explotación Coruna. Este fallo, catalogado como CVE-2023-43010, está relacionado con una vulnerabilidad no especificada en WebKit que podría provocar corrupción de memoria al procesar contenido web malicioso.
La compañía ha indicado que este problema fue solucionado en iOS 17.2, lanzado el 11 de diciembre de 2023, y que ahora se han trasladado estas correcciones a dispositivos que no pueden actualizar a la última versión de iOS. Las actualizaciones incluyen correcciones para versiones antiguas como iOS 15.8.7 y iPadOS 15.8.7, aplicables a modelos como el iPhone 6s, iPhone 7, iPhone SE (1ª generación), iPad Air 2, iPad mini (4ª generación) y iPod touch (7ª generación). También se han actualizado iOS 16.7.15 y iPadOS 16.7.15, que afectan a modelos como el iPhone 8 y el iPad Pro de 1ª generación.
Además de la vulnerabilidad CVE-2023-43010, las actualizaciones para iOS 15.8.7 y iPadOS 15.8.7 incluyen parches para tres vulnerabilidades adicionales, todas conectadas al kit Coruna:
- CVE-2023-43000: Un problema de uso después de liberar en WebKit, que podría permitir la corrupción de memoria. - CVE-2023-41974: Un fallo en el kernel que podría permitir a una aplicación ejecutar código arbitrario con privilegios de kernel. - CVE-2024-23222: Un problema de confusión de tipos en WebKit, que podría llevar a la ejecución de código arbitrario al procesar contenido web malicioso.
El kit Coruna ha sido tema de atención reciente tras revelaciones de que contiene 23 exploits diseñados para atacar modelos de iPhone con versiones de iOS entre 13.0 y 17.2.1. La firma iVerify ha estado rastreando este marco de malware, que utiliza el kit bajo el nombre de CryptoWaters, destacando sus similitudes con marcos desarrollados por actores de amenazas vinculados al gobierno de EE.UU.
Se ha especulado que Coruna fue diseñado por el contratista militar estadounidense L3Harris, y que pudo haber sido transferido al corredor de exploits ruso Operation Zero por Peter Williams, un exgerente de la empresa que fue condenado a más de siete años de prisión por vender varios exploits a cambio de dinero.
Un aspecto interesante del kit es el uso de dos exploits, CVE-2023-32434 y CVE-2023-38606, que fueron convertidos en zero-days en una campaña denominada Operation Triangulation, la cual se dirigió a usuarios en Rusia en 2023. Expertos de Kaspersky han indicado que cualquier equipo con la suficiente habilidad podría desarrollar sus propios exploits, dado que ambos fallos tienen implementaciones disponibles públicamente.
A pesar de la investigación exhaustiva, no se ha podido atribuir la Operation Triangulation a ningún grupo conocido de APT o empresa de desarrollo de exploits. Según Boris Larin, investigador principal de seguridad en Kaspersky GReAT, la atribución no puede basarse únicamente en el hecho de que se hayan explotado estas vulnerabilidades, ya que el código de Coruna no reutiliza el de Triangulation, aunque ambos apunten a las mismas vulnerabilidades. La situación destaca la continua evolución de las amenazas y la necesidad de mantener actualizados los dispositivos para mitigar riesgos.