Уязвимости се използват в кибершпионаж и кражба на криптовалути
Компанията Apple публикува нови актуализации за сигурност, предназначени за по-стари модели iPhone и iPad, които вече не могат да преминат към най-новите версии на операционната система. Пачовете адресират серия от уязвимости, експлоатирани чрез експлойт пакета Coruna exploit kit, използван в операции за кибершпионаж и кражба на криптовалути.
Според компанията част от проблемите вече са били отстранени за по-новите устройства още през септември 2023 г., но сега корекциите се „бекпортват“ към по-старите версии на iOS и iPadOS.
Експлойт вериги за привилегии и отдалечено изпълнение на код
Новите пачове защитават устройства с iOS 15.8.7 / 16.7.15 и iPadOS 15.8.7 / 16.7.15 от няколко критични уязвимости, които могат да бъдат комбинирани в експлойт вериги.
Тези уязвимости позволяват на нападателите:
-
ескалация на привилегии до Kernel ниво
-
отдалечено изпълнение на код (RCE)
-
компрометиране на устройства чрез уеб съдържание
Сред най-важните коригирани уязвимости са:
-
CVE-2023-41974 – Kernel use-after-free проблем, коригиран чрез подобрено управление на паметта
-
CVE-2024-23222 – type confusion уязвимост в WebKit
-
CVE-2023-43000 – use-after-free уязвимост в WebKit
-
CVE-2023-43010 – проблем в WebKit, коригиран чрез подобрено управление на паметта
Много от тези слабости са използвани в zero-day атаки, което ги прави особено опасни за устройства, които не са актуализирани.
Засегнати устройства
Актуализациите са предназначени за широка гама по-стари модели устройства, включително:
iPhone:
-
iPhone 6s (всички модели)
-
iPhone 7 (всички модели)
-
iPhone SE (1-во поколение)
-
iPhone 8 и iPhone 8 Plus
-
iPhone X
iPad и други устройства:
-
iPad Air 2
-
iPad mini (4-то поколение)
-
iPod touch (7-мо поколение)
-
iPad (5-то поколение)
-
iPad Pro 9.7″
-
iPad Pro 12.9″ (1-во поколение)
Coruna – инструмент, използван от държавни и криминални групи
Според изследователи от Google Threat Intelligence Group експлойт пакетът Coruna exploit kit се използва от няколко различни групи от февруари 2025 г.
Сред тях са:
-
предполагаема руска държавно подкрепяна група – UNC6353
-
клиент на компания за дигитално наблюдение
-
китайска финансово мотивирана група – UNC6691
Групата UNC6691 е използвала Coruna в фалшиви крипто и хазартни сайтове, които инсталират зловреден софтуер и крадат криптовалутни портфейли от заразени устройства.
CISA включи уязвимостите в списъка с активно експлоатирани
Американската агенция за киберсигурност Cybersecurity and Infrastructure Security Agency (CISA) добави няколко от уязвимостите към своя каталог Known Exploited Vulnerabilities (KEV).
Това означава, че те вече се използват активно в реални атаки.
В резултат агенцията задължи федералните институции в САЩ да актуализират устройствата си съгласно директивата:
-
Binding Operational Directive 22-01
Крайният срок за прилагане на пачовете е 26 март.
Apple вече е коригирала и нова zero-day уязвимост
От началото на годината Apple е отстранила и друга критична уязвимост:
-
CVE-2026-20700
Тя е използвана в изключително сложна целева атака, позволяваща на нападателите да изпълняват произволен код на компрометирани устройства.
Уязвимостта е била докладвана от екипа Google Threat Analysis Group, но подробности за конкретния начин на експлоатация не са публикувани.
Защо актуализациите са критични
Този тип уязвимости често се използват в комбинирани експлойт вериги, които могат напълно да компрометират мобилно устройство.
Поради това експертите препоръчват всички потребители на по-стари устройства незабавно да инсталират последните актуализации, за да намалят риска от:
-
шпионски операции
-
кражба на криптовалути
-
пълен контрол върху устройството
