Selon BleepingComputer, la CISA a ordonné aux agences fédérales américaines d’appliquer des correctifs à trois failles de sécurité affectant iOS.

Ces vulnérabilités sont ciblées dans des attaques de cyberespionnage et de vol de cryptomonnaies, menées à l’aide du kit d’exploitation Coruna.

CISA alerte sur des vulnérabilités iOS exploitées via le kit d’exploit Coruna

Contexte

L’agence américaine CISA (Cybersecurity and Infrastructure Security Agency) a ordonné aux agences fédérales de corriger trois vulnérabilités iOS activement exploitées dans des campagnes :

  • d’espionnage
  • de vol de cryptomonnaies

Ces attaques utilisent le kit d’exploit Coruna, capable d’exploiter plusieurs vulnérabilités iOS.

Les agences fédérales doivent appliquer les correctifs avant le 26 mars, conformément à la directive Binding Operational Directive (BOD) 22-01.

Coruna exploit kit

Le kit Coruna exploite :

  • 23 vulnérabilités iOS
  • plusieurs chaînes d’exploit complexes

Certaines de ces vulnérabilités ont été utilisées comme zero-day.

Les chercheurs du Google Threat Intelligence Group (GTIG) ont observé l’utilisation du kit par plusieurs acteurs malveillants.

Capacités techniques

Coruna permet d’exploiter plusieurs mécanismes de sécurité iOS :

Contournements de sécurité

  • PAC bypass
    (Pointer Authentication Code)

  • Sandbox escape

  • PPL bypass
    (Page Protection Layer)

Chaîne d’exploitation

Le kit permet notamment :

  1. Remote Code Execution via WebKit
  2. Élévation de privilèges
  3. Accès kernel

Cela peut conduire à la compromission complète de l’appareil.

Acteurs observés

Selon GTIG, plusieurs groupes ont utilisé Coruna :

Acteurs étatiques

  • UNC6353
    groupe soupçonné d’être lié à la Russie

Acteurs criminels

  • UNC6691
    acteur chinois motivé financièrement

Surveillance commerciale

Un client d’un fournisseur de surveillance aurait également utilisé ce kit.

Cela montre la circulation d’outils de surveillance avancés entre :

  • entreprises de surveillance
  • acteurs étatiques
  • cybercriminels

Campagnes observées

Dans certains cas, les attaquants ont utilisé :

  • faux sites de jeux d’argent
  • faux sites crypto

Ces sites servaient à :

  1. exploiter la vulnérabilité
  2. installer un malware
  3. voler les portefeuilles cryptographiques des victimes.

Mesures de protection

Les exploits Coruna ne fonctionnent pas si :

  • l’appareil utilise une version récente d’iOS
  • la navigation privée est utilisée
  • le mode Lockdown Mode d’Apple est activé

Le Lockdown Mode est une fonctionnalité anti-spyware introduite par Apple pour protéger les cibles à haut risque.

Vulnérabilités ajoutées au catalogue KEV

CISA a ajouté trois vulnérabilités Coruna à son catalogue :

Known Exploited Vulnerabilities (KEV)

Cela signifie qu’elles sont :

  • activement exploitées
  • considérées comme prioritaires pour la correction.

Recommandations

CISA recommande :

  • appliquer les correctifs iOS immédiatement
  • suivre les instructions des fournisseurs
  • sécuriser les environnements mobiles

Si aucune mitigation n’est possible :

  • cesser l’utilisation du produit vulnérable.

Analyse

Le cas Coruna illustre une tendance préoccupante :

les capacités d’exploitation de niveau spyware migrent progressivement :

  1. des entreprises de surveillance
  2. vers les acteurs étatiques
  3. puis vers la cybercriminalité à grande échelle.

Cela augmente considérablement le risque d’exploitation de vulnérabilités mobiles dans des campagnes :

  • d’espionnage
  • de fraude
  • de vol de cryptomonnaies.

Conclusion: article de presse spécialisé relayant une alerte de sécurité et un ordre de correctifs de la CISA.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/cisa-warns-of-apple-flaws-exploited-in-spyware-crypto-theft-attacks/