美國網路安全和基礎設施安全局(CISA)已下令各聯邦機構修復三個關鍵iOS漏洞,這些漏洞在長達10個月的時間裡被三個不同的黑客組織在攻擊行動中持續利用。
上述黑客攻擊行動於周四經由谷歌發布的一份報告而公之於眾。三起攻擊行動均使用了一個名為"Coruna"的高級黑客工具包,該工具包將23個獨立的iOS漏洞利用程序整合為五條強力利用鏈。其中部分漏洞此前曾作為零日漏洞被用於其他不相關的攻擊活動,但在谷歌觀察到Coruna對其加以利用時,這些漏洞均已完成修補。儘管如此,由於該工具包的漏洞利用代碼質量極高、功能覆蓋範圍廣泛,在針對舊版iOS系統時仍構成嚴峻威脅。
"這套漏洞利用工具包的核心技術價值在於其對iOS漏洞的全面收集,"谷歌研究人員寫道,"這些漏洞利用程序具備詳盡的文檔說明,包括由英語母語者撰寫的文檔字符串和注釋。其中最為高級的部分採用了非公開的漏洞利用技術和安全防護繞過手段。"
周五,CISA將其中三個漏洞納入其已知被利用漏洞目錄,並要求所有受CISA管轄的聯邦機構對相關漏洞進行修復,同時建議所有組織採取同樣措施。上述漏洞利用程序可作用於iOS 13至17.2.1版本,17.2.1以上版本不受影響。此外,當蘋果鎖定模式(Lockdown)開啟或瀏覽器設置為隱私瀏覽模式時,該漏洞利用程序也將失效。
Coruna的高級功能包括一個前所未見的JavaScript框架,該框架採用獨特的混淆方法以規避檢測和逆向工程分析。框架激活後,會運行一個指紋識別模組來收集設備資訊,並據此加載適配的WebKit漏洞利用程序,隨後繞過一種名為"指針認證碼"(PAC)的防護機制。
Coruna還因被三個不同黑客組織使用而備受關注。谷歌最初於去年2月發現其被一個"監控供應商的客戶"在行動中使用,所利用的漏洞(編號CVE-2025-23222)早在13個月前就已修復。2025年7月,一個"疑似俄羅斯間諜組織"通過CVE-2023-43000漏洞,在烏克蘭用戶頻繁訪問的網站上發動了攻擊。去年12月,當該工具包被"一個來自中國、以經濟利益為驅動的威脅行為者"使用時,谷歌得以獲取完整的漏洞利用工具包。
"這種擴散是如何發生的目前尚不清楚,但這表明存在一個活躍的'二手'零日漏洞交易市場,"谷歌寫道,"除已識別的漏洞外,多個威脅行為者現已掌握了可重複使用、並可結合新發現漏洞加以改造的高級漏洞利用技術。"
谷歌研究人員進一步寫道:
我們獲取了所有經過混淆處理的漏洞利用程序,包括最終有效載荷。經深入分析,我們發現有一個案例中,攻擊者部署了該工具包的調試版本,導致所有漏洞利用程序連同其內部代號一同暴露。正是由此,我們得知該漏洞利用工具包在內部很可能被命名為"Coruna"。我們共收集了數百個樣本,涵蓋五條完整的iOS漏洞利用鏈。該工具包能夠針對運行iOS 13.0(2019年9月發布)至17.2.1版本(2023年12月發布)的各型iPhone。
CISA此次納入目錄的三個漏洞編號分別為:
CVE-2021-30952:蘋果多款產品整數溢出漏洞
CVE-2023-41974:蘋果iOS及iPadOS釋放後使用漏洞
CVE-2023-43000:蘋果多款產品釋放後使用漏洞
CISA要求各機構"按照供應商指導意見應用緩解措施,遵循適用的雲服務相關指引,或在無法採取緩解措施時停止使用相關產品",並警告稱:"此類漏洞是惡意網路攻擊者的常用攻擊入口,對聯邦資訊系統構成重大風險。"
Q&A
Q1:Coruna漏洞利用工具包是什麼?有什麼危害?
A:Coruna是一個高級iOS漏洞利用工具包,整合了23個獨立漏洞利用程序,形成五條完整的攻擊鏈。它可針對運行iOS 13至17.2.1版本的iPhone,能收集設備資訊、繞過安全防護機制,已被多個不同背景的黑客組織用於實際攻擊。由於其代碼質量高、功能全面,即便針對已修補漏洞的舊版系統,仍具有相當強的威脅能力。
Q2:哪些iOS版本受到Coruna漏洞利用工具包的影響?
A:Coruna可對運行iOS 13.0至17.2.1版本的iPhone發動攻擊。升級至17.2.1以上版本可規避風險。此外,開啟蘋果鎖定模式(Lockdown)或將瀏覽器設置為隱私瀏覽模式,也可阻止該工具包的漏洞利用程序執行。
Q3:CISA要求修復哪三個iOS漏洞?
A:CISA此次要求聯邦機構修復的三個漏洞分別是:CVE-2021-30952(蘋果多款產品整數溢出漏洞)、CVE-2023-41974(蘋果iOS及iPadOS釋放後使用漏洞)以及CVE-2023-43000(蘋果多款產品釋放後使用漏洞)。CISA要求相關機構按供應商指導進行修復,並建議所有組織採取同樣措施。
