Nach Angaben von CISA enthält das Exploit-Kit Coruna Angriffscode für 23 Schwachstellen, die sich über vier Jahre iOS-Entwicklung erstrecken – von iOS 13.0 bis iOS 17.2.1. Gegen die aktuellsten Versionen von Apples Mobilbetriebssystem ist das Kit den Angaben zufolge nicht mehr wirksam.

Coruna wurde von mehreren Bedrohungsakteuren genutzt: dem Kunden eines Spyware-Anbieters, einer russischen Spionagegruppe sowie einer finanziell motivierten Gruppe aus China. Das Kit dürfte aus „aus zweiter Hand" stammenden Zero-Day-Exploits zusammengesetzt worden sein. Es ermittelt zunächst die Merkmale des Zielgeräts, um den passenden WebKit-Exploit zur Codeausführung aus der Ferne (Remote Code Execution) zu laden, umgeht verschiedene Schutzmechanismen der Plattform und schleust eine Schadkomponente in den als root laufenden Daemon „powerd" ein.

Die Schadkomponente zielt auf Finanzdaten der Opfer und kann zusätzliche Module nachladen, um Kryptowährungs-Wallets sowie sensible Informationen aus mehreren Anwendungen abzuziehen.

Von den 23 angegriffenen Sicherheitslücken haben 12 eine CVE-Kennung erhalten. Alle ausgenutzten Schwachstellen – ob öffentlich bekannt gemacht oder nicht – sind inzwischen gepatcht. Bei neun der öffentlich bekannten Lücken war eine Ausnutzung bereits zuvor dokumentiert, in den meisten Fällen als Zero-Day. Dazu zählen CVE-2022-48503, CVE-2024-23222, CVE-2023-32409, CVE-2020-27932, CVE-2020-27950, CVE-2023-32434, CVE-2023-38606, CVE-2024-23225 und CVE-2024-23296.

Für die übrigen drei Schwachstellen – CVE-2021-30952, CVE-2023-41974 und CVE-2023-43000 – gab es vor den jüngsten Enthüllungen zum Coruna-Kit offenbar keine öffentlichen Berichte über eine Ausnutzung. Genau diese drei iOS-Lücken hat CISA nun in den KEV-Katalog aufgenommen.

Mit der Aufnahme beginnt für US-Bundesbehörden gemäß der Binding Operational Directive (BOD) 22-01 eine Frist von drei Wochen, um in ihren Umgebungen verwundbare Geräte zu identifizieren und zu patchen. Am selben Tag warnte CISA zudem, dass ältere Schwachstellen in mehreren Produkten von Hikvision und Rockwell aktiv ausgenutzt werden.

Die Direktive BOD 22-01 gilt zwar nur für Bundesbehörden, CISA empfiehlt jedoch allen Organisationen, die Behebung von Schwachstellen aus dem KEV-Katalog vorrangig zu behandeln.