SchwachstellenHackerangriffeCyberkriminalität

Kritische iOS-Lücken: CISA ordnet Behörden zur Sofortpflege an

Kritische iOS-Lücken: CISA ordnet Behörden zur Sofortpflege an
Zusammenfassung

Die US-Cybersicherheitsbehörde CISA hat amerikanische Regierungsbehörden angewiesen, drei kritische iOS-Sicherheitslücken zu schließen, die aktiv in Angriffen auf iPhones ausgenutzt werden. Das DarkSword-Exploit-Kit nutzt eine Kette von sechs Schwachstellen aus, um Sandboxen zu umgehen, Privilegen zu eskalieren und Ferncodausführung auf iPhones zu ermöglichen – bislang wurden vor allem Geräte mit iOS 18.4 bis 18.7 angegriffen. Sicherheitsforscher haben DarkSword mit mehreren Bedrohungsakteuren verknüpft, darunter die russische Spionagegruppe UNC6353 und UNC6748, Kunden des türkischen Überwachungsanbieters PARS Defense. Bei den Attacken wurden mehrere Malware-Familien eingesetzt, um Kryptowährungen zu stehlen und Spionage zu betreiben. Für deutsche Nutzer, Unternehmen und Behörden ist dies relevant, da ähnliche Sicherheitslücken auch europäische iPhones gefährden könnten. Obwohl die CISA-Anordnung formal nur US-Bundesbehörden betrifft, empfiehlt die Behörde dringend allen Organisationen, einschließlich deutscher Privatunternehmen und Behörden, ihre iOS-Geräte sofort zu aktualisieren. Dies unterstreicht die Notwendigkeit schneller Sicherheitsupdates in einer Zeit, in der mobile Geräte zunehmend Ziel staatlich gelenkter Cyberangriffe werden.

Die DarkSword-Exploit-Suite nutzt eine Verkettung von sechs iOS-Schwachstellen aus, um in iPhones einzudringen. Drei dieser kritischen Lücken – CVE-2025-31277, CVE-2025-43510 und CVE-2025-43520 – hat CISA sofort auf die Liste der aktiv ausgebeuteten Sicherheitsmängel gesetzt. Die weiteren drei Schwachstellen tragen die Bezeichnungen CVE-2025-43529, CVE-2026-20700 und CVE-2025-14174.

Aktuelle Versionen von iOS 18.4 bis 18.7 sind betroffen, wobei Apple bereits Patches in neueren Versionen bereitgestellt hat. Das Tückische: DarkSword wurde speziell als kurzfristige Überwachungswaffe konzipiert. Die Malware löscht ihre Spuren nach dem Datenraub und beendet sich selbst – eine klassische Taktik zur Verschleierung von Angriffen.

Besonders beunruhigend ist die Verbindung zu organisierten Bedrohungsakteuren. Google-Forscher identifizierten die Gruppe UNC6748, die als Kunde des türkischen Überwachungsanbieters PARS Defense auftritt, sowie die vermutete russische Spionagegruppe UNC6353. Diese Akteure setzten drei verschiedene Info-Stealer-Malware-Familien ein: GhostBlade (JavaScript-basiert), GhostKnife (Backdoor mit Datenverlagerungsfunktionen) und GhostSaber (Code-Ausführung und Datendiebstahl).

Besonders aggressiv waren die Angriffe von UNC6353, die per Watering-Hole-Attacken ukrainische E-Commerce- und Industriewebseiten kompromittierten. Hier kam auch das Coruna-Exploit-Kit zum Einsatz. Das Sicherheitsunternehmen Lookout vermutet, dass DarkSword gezielt für russische Geheimdienstoperationen mit finanziellen Zielen entwickelt wurde.

CISA hat Bundesbehörden zwei Wochen Zeit gegeben, ihre Geräte zu sichern – eine Frist, die unter der sogenannten Binding Operational Directive (BOD) 22-01 erzwingbar ist. Die Agentur warnt: “Diese Art von Sicherheitslücken stellt häufige Angriffsvektoren dar und bedroht die digitale Infrastruktur erheblich.” Auch wenn BOD 22-01 formal nur für US-Behörden gilt, ruft CISA ausdrücklich Privatunternehmen auf, schnellstmöglich zu handeln. Für deutsche Organisationen gilt dies besonders dringend – insbesondere solche, die mit kritischen Infrastrukturen arbeiten oder vertrauliche Daten auf iOS-Geräten speichern.

Ähnliche Artikel