کمیته رکن چهارم – آژانس امنیت سایبری و زیرساخت آمریکا (CISA) به سازمانهای فدرال دستور داده سه آسیبپذیری امنیتی در iOS را که در حملات جاسوسی سایبری و سرقت رمزارز مورد سوءاستفاده قرار گرفتهاند، فوراً وصله کنند؛ حملاتی که با استفاده از کیت اکسپلویت پیشرفتهای به نام Coruna انجام شدهاند.
به گزارش کمیته رکن چهارم، پژوهشگران Google Threat Intelligence Group (GTIG) اعلام کردهاند کیت Coruna مجموعهای از چندین زنجیره اکسپلویت است که در مجموع ۲۳ آسیبپذیری مختلف در iOS را هدف قرار میدهد. بسیاری از این نقصها در قالب حملات Zero-Day مورد استفاده قرار گرفتهاند، هرچند این اکسپلویتها روی نسخههای جدید iOS کار نمیکنند و در صورت فعال بودن Private Browsing یا قابلیت امنیتی Lockdown Mode نیز مسدود میشوند.
این کیت اکسپلویت قادر است چندین لایه حفاظتی iOS را دور بزند، از جمله Pointer Authentication Code (PAC)، فرار از Sandbox و دور زدن Page Protection Layer (PPL). مهاجمان با استفاده از این قابلیتها میتوانند ابتدا از طریق WebKit اجرای کد از راه دور انجام دهند، سپس سطح دسترسی را افزایش داده و در نهایت به سطح دسترسی Kernel در دستگاههای آسیبپذیر دست پیدا کنند.
بررسیها نشان میدهد این ابزار در سال گذشته توسط چندین بازیگر تهدید مورد استفاده قرار گرفته است؛ از جمله یک مشتری مرتبط با شرکتهای تجاری نظارت سایبری، یک گروه هکری وابسته به دولت روسیه با شناسه UNC6353 و یک بازیگر تهدید مالیمحور چینی با شناسه UNC6691. به گفته پژوهشگران، گروه UNC6691 از این کیت در وبسایتهای جعلی قمار و رمزارز برای نصب بدافزار و سرقت داراییهای دیجیتال کاربران استفاده کرده است.
شرکت امنیت موبایل iVerify نیز هشدار داده Coruna نمونهای از ابزارهایی است که ابتدا توسط شرکتهای نظارتی تجاری توسعه یافته و سپس به دست دولتها، گروههای وابسته به دولت و در نهایت شبکههای جرایم سایبری گسترده رسیده است.
در پی این گزارشها، CISA سه مورد از آسیبپذیریهای مرتبط با Coruna را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرده و به سازمانهای فدرال آمریکا دستور داده دستگاههای خود را حداکثر تا ۶ فروردین ۱۴۰۵ ایمنسازی کنند. این دستور طبق چارچوب Binding Operational Directive 22-01 (BOD 22-01) صادر شده است.
اگرچه این دستور برای سازمانهای دولتی آمریکا الزامآور است، اما CISA از تمام سازمانها و شرکتهای خصوصی نیز خواسته است این آسیبپذیریها را در اولویت قرار دهند و دستگاههای خود را هرچه سریعتر بهروزرسانی کنند، زیرا چنین نقصهایی از بردارهای رایج حملات سایبری محسوب میشوند و میتوانند خطر قابل توجهی برای زیرساختهای سازمانی ایجاد کنند.
منبع: BleepingComputer
