Lỗ hổng iOS bị khai thác hàng loạt, cơ quan an ninh mạng Mỹ ra cảnh báo khẩn
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã ra lệnh cho các cơ quan liên bang vá khẩn cấp ba lỗ hổng iOS nghiêm trọng. Theo báo cáo từ Google, các lỗ hổng này là một phần của bộ công cụ tấn công tinh vi có tên Coruna, được sử dụng trong nhiều chiến dịch kéo dài 10 tháng.
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) vừa yêu cầu các cơ quan liên bang phải vá ngay lập tức ba lỗ hổng nghiêm trọng trên hệ điều hành iOS. Động thái này được đưa ra sau khi một báo cáo từ Google tiết lộ các lỗ hổng này đã bị ba nhóm tin tặc khác nhau khai thác trong các chiến dịch kéo dài suốt 10 tháng.
Các chiến dịch tấn công này được làm sáng tỏ vào thứ Năm trong một báo cáo do Google công bố. Cả ba chiến dịch đều sử dụng Coruna, tên của một bộ công cụ hack tiên tiến tổng hợp 23 mã khai thác iOS riêng biệt thành năm chuỗi tấn công mạnh mẽ. Đáng chú ý, mặc dù một số lỗ hổng từng là lỗ hổng zero-day trong các chiến dịch trước đó, chúng đều đã được Apple vá tại thời điểm Google phát hiện. Tuy nhiên, khi nhắm vào các phiên bản iOS cũ chưa được cập nhật, bộ công cụ này vẫn là một mối đe dọa đáng gờm do chất lượng mã khai thác cao và khả năng tấn công đa dạng.
Bộ công cụ tấn công tinh vi với các lỗ hổng "tái sử dụng"
Các nhà nghiên cứu của Google viết: "Giá trị kỹ thuật cốt lõi của bộ công cụ khai thác này nằm ở bộ sưu tập toàn diện các mã khai thác iOS. Các mã khai thác này có tài liệu hướng dẫn chi tiết, bao gồm cả chuỗi tài liệu (docstrings) và nhận xét được viết bằng tiếng Anh bản xứ. Những mã khai thác tiên tiến nhất sử dụng các kỹ thuật khai thác không công khai và phương thức vượt qua cơ chế phòng thủ."
Vào thứ Sáu, CISA đã chính thức thêm ba lỗ hổng này vào danh mục các lỗ hổng đã bị khai thác. Yêu cầu này buộc tất cả các cơ quan liên bang thuộc thẩm quyền của CISA phải tiến hành vá lỗi. CISA cũng khuyến cáo tất cả các tổ chức khác nên làm điều tương tự. Các mã khai thác này hoạt động trên iOS từ phiên bản 13 đến 17.2.1. Các phiên bản từ 17.2.1 trở lên không bị ảnh hưởng. Ngoài ra, các cuộc tấn công sẽ không thành công nếu người dùng kích hoạt Chế độ Phong tỏa (Lockdown Mode) của Apple hoặc sử dụng trình duyệt ở chế độ duyệt web riêng tư.
Các khả năng nâng cao của Coruna bao gồm một framework JavaScript chưa từng thấy, sử dụng phương pháp làm rối mã độc đáo để ngăn chặn việc bị phát hiện và dịch ngược. Khi được kích hoạt, framework này sẽ chạy một mô-đun 'lấy dấu vân tay' để thu thập thông tin về thiết bị. Dựa trên kết quả, nó sẽ tải một mã khai thác WebKit phù hợp, sau đó là một kỹ thuật để vượt qua cơ chế phòng thủ có tên là mã xác thực con trỏ (pointer authentication code).
Nguồn: Ars Technica Cloud
