Die US-Cybersicherheitsbehörde CISA hat drei iOS-Sicherheitslücken des nation-state-gestützten Coruna-Exploit-Kits in ihre Liste bekannter Schwachstellen aufgenommen. Das Kit zielt auf 23 Vulnerabilities in iOS 13 bis 17.2.1 ab.
Die US-amerikanische Cybersicherheitsbehörde CISA hat ihre Liste bekannter Schwachstellen (Known Exploited Vulnerabilities, KEV) um fünf Sicherheitslücken erweitert, darunter drei Bugs, die vom Coruna-Exploit-Kit auf Nation-State-Niveau ausgenutzt werden.
Das Coruna-Kit enthält Exploits für insgesamt 23 Vulnerabilities in iOS-Versionen von iOS 13.0 bis iOS 17.2.1, ist jedoch gegen die neuesten Iterationen von Apples Mobilplattform wirkungslos. Das Toolkit wurde von mehreren Bedrohungsakteuren eingesetzt, darunter Kunden eines Spyware-Anbieters, eine russische Spionagegruppe und eine finanziell motivierte chinesische Gruppe.
Das aus verbrauchten Zero-Day-Exploits zusammengesetzte Kit nutzt mehrschichtige Angriffstechniken: Es erstellt Geräte-Profile, um passende WebKit-Remote-Code-Execution-Exploits zu laden, umgeht verschiedene Plattform-Sicherheitsmaßnahmen und injiziert eine Payload in den als Root ausgeführten “powerd”-Daemon. Die Payload zielt auf Finanzinformationen ab und kann zusätzliche Module zum Abgreifen von Kryptowallet-Daten und sensitiven Applikationsinformationen laden.
Von den 23 angegriffenen Schwachstellen erhielten 12 CVE-Identifikatoren. Alle betroffenen Sicherheitsmängel wurden inzwischen gepatcht. Bei den öffentlich bekannten Bugs wurden neun bereits als ausgenutzt gekennzeichnet, die meisten davon als Zero-Days. Darunter fallen CVE-2022-48503, CVE-2024-23222, CVE-2023-32409, CVE-2020-27932, CVE-2020-27950, CVE-2023-32434, CVE-2023-38606, CVE-2024-23225 und CVE-2024-23296.
Die drei weiteren CVEs (CVE-2021-30952, CVE-2023-41974 und CVE-2023-43000) wurden vor dieser Woche nicht öffentlich als ausgenutzt gemeldet. Nachdem CISA alle drei iOS-Lücken in den KEV-Katalog aufgenommen hat, müssen US-Bundesbehörden innerhalb von drei Wochen anfällige Geräte in ihrer Infrastruktur identifizieren und patchen – gemäß der Binding Operational Directive 22-01.
Parallel warnte CISA vor der aktiven Ausnutzung älterer Schwachstellen in mehreren Hikvision- und Rockwell-Produkten. Während BOD 22-01 nur für Bundesbehörden gilt, werden alle Organisationen dringend aufgefordert, die Behebung von Bugs aus dem KEV-Katalog zu priorisieren.
Quelle: SecurityWeek