Apple ha abordado tres nuevas vulnerabilidades de día cero que fueron explotadas en ataques para instalar el software espía Triangulation en iPhones a través de exploits de tipo zero-click en iMessage.
«Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado activamente en versiones de iOS anteriores a iOS 15.7«, dice la compañía al describir las vulnerabilidades del Kernel y WebKit identificadas como CVE-2023-32434 y CVE-2023-32435.
Las dos fallas de seguridad fueron encontradas y reportadas por los investigadores de seguridad de Kaspersky, Georgy Kucherin, Leonid Bezvershenko y Boris Larin.
Kaspersky también publicó un informe hoy con detalles adicionales sobre un componente de software espía para iOS utilizado en una campaña que la empresa de ciberseguridad sigue como «Operación Triangulation».
«El implante, al que hemos llamado TriangleDB, se despliega después de que los atacantes obtienen privilegios de root en el dispositivo iOS objetivo al explotar una vulnerabilidad del kernel. Se despliega en la memoria, lo que significa que todas las huellas del implante se pierden cuando el dispositivo se reinicia», dijo Kaspersky hoy.
«Por lo tanto, si la víctima reinicia su dispositivo, los atacantes deben reinfectarlo enviando un iMessage con un archivo adjunto malicioso, lo que inicia de nuevo toda la cadena de explotación. En caso de que no se produzca un reinicio, el implante se desinstala automáticamente después de 30 días, a menos que este período sea extendido por los atacantes»
Según afirma el Servicio de Seguridad Federal de Rusia (FSB), los ataques fueron realizados por hackers estatales de Estados Unidos. Los ataques comenzaron en 2019 y continúan en curso, según informó Kaspersky a principios de junio. Algunos iPhones en su red fueron infectados con un software espía previamente desconocido a través de exploits zero-click en iMessage que aprovechan vulnerabilidades de día cero en iOS.
Kaspersky también informó a BleepingComputer que el ataque afectó a su oficina en Moscú y a empleados en otros países.
El FSB, la agencia de inteligencia y seguridad de Rusia, afirmó después de que se publicara el informe de Kaspersky que Apple proporcionó a la NSA una puerta trasera para ayudar a infectar iPhones en Rusia con software espía.
El FSB afirmó haber encontrado miles de iPhones infectados pertenecientes a funcionarios del gobierno ruso y personal de embajadas en Israel, China y países miembros de la OTAN.
«Jamás hemos trabajado con ningún gobierno para insertar una puerta trasera en ningún producto de Apple, y nunca lo haremos», dijo un portavoz de Apple a BleepingComputer.
Apple también solucionó una vulnerabilidad zero-day en WebKit (CVE-2023-32439) reportada por un investigador anónimo, que podría permitir a los atacantes ejecutar código arbitrario en dispositivos no parcheados mediante la explotación de un problema de confusión de tipos.
La compañía abordó los tres zero-days en macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, iOS 16.5.1 y iPadOS 16.5.1, iOS 15.7.7 y iPadOS 15.7.7, watchOS 9.5.2 y watchOS 8.8.1 con mejoras en las comprobaciones, validación de entradas y gestión de estados.
La lista de dispositivos afectados es bastante extensa, ya que el zero-day afecta a modelos antiguos y nuevos, e incluye:
- iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, iPad mini de 5.ª generación y posteriores.
- iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE de 1.ª generación, iPad Air 2, iPad mini de 4.ª generación y iPod touch de 7.ª generación.
- Mac que ejecutan macOS Big Sur, Monterey y Ventura.
- Apple Watch Series 4 y posteriores, Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7 y SE.
Desde principios de año, Apple ha solucionado un total de 9 vulnerabilidades de día cero que fueron aprovechadas en ataques para comprometer iPhones, Macs y iPads.
Fuente: Sergiu Gatlan
