A agência norte-americana Cybersecurity and Infrastructure Security Agency (CISA) determinou que órgãos federais corrijam três vulnerabilidades de segurança no iOS, exploradas em ataques de ciberespionagem e furto de criptomoedas por meio do kit de exploits Coruna.
De acordo com pesquisadores do Google Threat Intelligence Group (GTIG), que divulgaram os detalhes nesta semana, o Coruna utiliza múltiplas cadeias de exploits para explorar 23 falhas no iOS, muitas delas zero-day, ou seja, antes da disponibilidade de patch.
No entanto, essas explorações não funcionam nas versões mais recentes do iOS e são bloqueadas quando o usuário navega em modo privado ou tem ativado o Lockdown Mode da Apple, uma proteção contra spyware.
O Coruna oferece aos agentes maliciosos capacidades avançadas, como bypass do Pointer Authentication Code (PAC), escape da sandbox e contorno da proteção Page Protection Layer (PPL).
Isso permite a execução remota de código via WebKit e o escalonamento de privilégios para acesso ao kernel em dispositivos vulneráveis.
Em 2023, o GTIG identificou o uso do kit por diversos atores, incluindo clientes de fornecedores de soluções de vigilância, um grupo suspeito de ligação com o governo russo (UNC6353) e um ator chinês motivado por ganhos financeiros (UNC6691).
Este último utilizou o Coruna em sites falsos de apostas e criptomoedas para distribuir malware destinado a roubar carteiras digitais das vítimas.
A empresa de segurança móvel iVerify classificou o Coruna como um exemplo de capacidades sofisticadas comparáveis a spyware, que migraram de fornecedores comerciais de vigilância para atores estatais e, por fim, para operações criminosas em larga escala.
Na quinta-feira, a CISA incluiu três dessas vulnerabilidades em seu catálogo Known Exploited Vulnerabilities e ordenou que órgãos do Executivo Federal Civiliano (FCEB) implementem as correções até 26 de março, conforme estabelecido pela Binding Operational Directive (BOD) 22-01.
A agência alertou: “Aplique as mitigações conforme as instruções dos fornecedores, siga as orientações da BOD 22-01 para serviços em nuvem ou descontinue o uso do produto caso não haja mitigações disponíveis.”
“Esse tipo de vulnerabilidade é uma das principais portas de entrada para agentes cibernéticos maliciosos e representa riscos significativos ao ambiente federal.”
Embora a BOD 22-01 seja aplicada apenas a agências federais, a CISA recomenda que todas as organizações, inclusive empresas do setor privado, priorizem a correção dessas falhas para proteger seus dispositivos contra ataques o quanto antes.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...