Allarme iOS Vulnerabilità Sfruttate Sotto Misteriose Circostanze le Agenzie Federali Agiscono
La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un ordine perentorio alle agenzie federali statunitensi, intimando l’applicazione di patch di sicurezza per tre critiche vulnerabilità di iOS. Queste falle, sfruttate in modo sofisticato nell’arco di dieci mesi, sono state al centro di campagne di hacking condotte da tre distinti gruppi, sollevando interrogativi sulla sicurezza dei dispositivi Apple e sulla proliferazione di strumenti di hacking avanzati.
La Scoperta di Google e l’Allarme CISA
La scoperta di queste campagne di hacking è stata resa pubblica grazie a un rapporto dettagliato di Google. Le campagne hanno sfruttato Coruna, un kit di hacking avanzato che ha integrato ben 23 exploit iOS separati in cinque potenti catene di exploit. Sebbene alcune delle vulnerabilità fossero state precedentemente sfruttate in campagne indipendenti e non correlate, tutte erano state corrette al momento in cui Google ha osservato il loro sfruttamento da parte di Coruna. Tuttavia, il kit ha rappresentato una minaccia formidabile, data l’elevata qualità del codice di exploit e l’ampia gamma di capacità, soprattutto contro le versioni meno recenti di iOS.
Il Kit Coruna e le sue Capacità
Il valore tecnico principale di questo kit di exploit risiede nella sua completa raccolta di exploit iOS. I ricercatori di Google hanno evidenziato la presenza di documentazione estesa, inclusi docstring e commenti scritti in inglese nativo. Gli exploit più avanzati utilizzano tecniche di sfruttamento non pubbliche e bypass di mitigazione. Coruna si distingue anche per l’uso di un framework JavaScript inedito che impiega un metodo di offuscamento unico per prevenire il rilevamento e il reverse engineering. Questo framework, una volta attivato, esegue un modulo di fingerprinting per raccogliere informazioni sul dispositivo, caricando poi un exploit WebKit adatto e aggirando una difesa nota come codice di autenticazione del puntatore.
La Proliferazione degli Exploit e le Implicazioni
Un aspetto particolarmente preoccupante è l’uso di Coruna da parte di tre distinti gruppi di hacking. Google ha rilevato per la prima volta il suo utilizzo nel febbraio dello scorso anno, in un’operazione condotta da un cliente di un fornitore di sorveglianza. Successivamente, nel luglio 2023, un gruppo di spionaggio russo sospettato ha sfruttato una delle vulnerabilità in attacchi mirati a siti web frequentati da obiettivi ucraini. Infine, nel dicembre 2023, un attore di minacce con motivazioni finanziarie dalla Cina ha utilizzato il kit, consentendo a Google di recuperare l’intero kit di exploit. Questo suggerisce un mercato attivo per exploit zero-day di seconda mano. I ricercatori di Google hanno recuperato tutti gli exploit offuscati, compresi i payload finali, scoprendo che il kit di exploit era probabilmente chiamato Coruna internamente. In totale, sono stati raccolti diverse centinaia di campioni, coprendo un totale di cinque catene di exploit iOS complete. Il kit di exploit è in grado di colpire vari modelli di iPhone con iOS dalla versione 13.0 fino alla versione 17.2.1.
Le Azioni di CISA e le Raccomandazioni
CISA ha aggiunto tre delle vulnerabilità al suo catalogo di vulnerabilità note sfruttate. L’agenzia sta indirizzando le agenzie a applicare le mitigazioni secondo le istruzioni del fornitore, seguire le linee guida applicabili per i servizi cloud o interrompere l’uso del prodotto se le mitigazioni non sono disponibili. CISA ha avvertito che queste vulnerabilità sono frequenti vettori di attacco per gli attori informatici dannosi e rappresentano rischi significativi per l’impresa federale. È fondamentale che le organizzazioni prendano sul serio queste raccomandazioni e implementino le patch di sicurezza necessarie per proteggere i propri sistemi e dati.
