Apple heeft oplossingen voor een beveiligingsfout in iOS, iPadOS en macOS Sonoma woensdag teruggeport naar oudere versies nadat bleek dat deze werden gebruikt als onderdeel van de Coruna-exploitkit.
De kwetsbaarheid, bijgehouden als CVE-2023-43010heeft betrekking op een niet-gespecificeerde kwetsbaarheid in WebKit die kan leiden tot geheugenbeschadiging bij het verwerken van kwaadwillig vervaardigde webinhoud. De iPhone-maker zei dat het probleem is verholpen door een verbeterde afhandeling.
“Deze oplossing voor de Coruna-exploitkit werd op 11 december 2023 in iOS 17.2 uitgebracht”, aldus Apple in een advies. “Deze update brengt die oplossing voor apparaten die niet kunnen updaten naar de nieuwste iOS-versie.”
Oplossingen voor CVE-2023-43010 zijn oorspronkelijk door Apple uitgebracht in de volgende versies:
De nieuwste reeks oplossingen brengt het naar oudere versies van iOS en iPadOS –
- iOS 15.8.7 en iPadOS 15.8.7 – iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
- iOS 16.7.15 en iPadOS 16.7.15 – iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e generatie, iPad Pro 9,7-inch en iPad Pro 12,9-inch 1e generatie
Bovendien bevatten iOS 15.8.7 en iPadOS 15.8.7 patches voor nog drie kwetsbaarheden die verband houden met de Coruna-exploitkit:
- CVE-2023-43000 (Oorspronkelijk opgelost in iOS 16.6, uitgebracht op 24 juli 2023) – Een ‘use-after-free’-probleem in WebKit dat kan leiden tot geheugenbeschadiging bij het verwerken van kwaadwillig vervaardigde webinhoud.
- CVE-2023-41974 (Oorspronkelijk opgelost in iOS 17, uitgebracht op 18 september 2023) – Een ‘use-after-free’-probleem in de kernel waardoor een app willekeurige code met kernelrechten kan uitvoeren.
- CVE-2024-23222 (Oorspronkelijk opgelost in iOS 17.3, uitgebracht op 22 januari 2024) – Een typeverwarringsprobleem in WebKit dat kan leiden tot uitvoering van willekeurige code bij het verwerken van kwaadwillig vervaardigde webinhoud.
Details over Coruna kwamen eerder deze maand naar voren nadat Google zei dat de exploitkit 23 exploits bevat in vijf ketens die zijn ontworpen om iPhone-modellen met iOS-versies tussen 13.0 en 17.2.1 te targeten. iVerify, dat het malwareframework volgt dat de exploitkit gebruikt onder de naam CryptoWaters, zegt dat het overeenkomsten vertoont met eerdere frameworks die zijn ontwikkeld door bedreigingsactoren die zijn aangesloten bij de Amerikaanse overheid.
De ontwikkeling komt te midden van speculaties dat Coruna waarschijnlijk is ontworpen door de Amerikaanse militaire aannemer L3Harris en dat het mogelijk is doorgegeven aan de Russische exploitatiemakelaar Operation Zero door Peter Williams, een voormalige algemeen directeur van het bedrijf die vorige maand werd veroordeeld tot meer dan zeven jaar gevangenisstraf wegens het verkopen van verschillende exploits in ruil voor geld.
Een interessant aspect van Coruna is het gebruik van twee exploits (CVE-2023-32434 en CVE-2023-38606) die in 2023 werden ingezet als zero-days in een campagne genaamd Operatie Triangulation, gericht op gebruikers in Rusland. Kaspersky vertelde The Hacker News dat het voor elk voldoende bekwaam team mogelijk is om met hun eigen exploits te komen, aangezien beide fouten publiekelijk beschikbare implementaties hebben.
“Ondanks ons uitgebreide onderzoek zijn we niet in staat Operatie Triangulatie toe te schrijven aan een bekende APT-groep of exploiteerontwikkelingsbedrijf”, vertelde Boris Larin, hoofdveiligheidsonderzoeker bij Kaspersky GReAT, in een e-mail aan The Hacker News.
“Om precies te zijn: noch Google, noch iVerify beweert in hun gepubliceerde onderzoek dat Coruna de code van Triangulation hergebruikt. Wat zij identificeren is dat twee exploits in Coruna – Photon en Gallium – zich op dezelfde kwetsbaarheden richten. Dat is een belangrijk onderscheid. Naar onze mening kan attributie niet uitsluitend gebaseerd zijn op het feit dat deze kwetsbaarheden worden uitgebuit.”
