Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Coruna iOS Exploit Kit Uses 23 Exploits Across Five Chains Targeting iOS 13–17.2.1

2 minute de lecture

Mis à jour :

Kit d’exploitation Coruna : une menace sophistiquée pour iOS

Une nouvelle trousse d’exploitation, baptisée Coruna (ou CryptoWaters), a été identifiée par Google. Elle cible les appareils iPhone exécutant les versions d’iOS 13 à 17.2.1. Ce kit est particulièrement puissant, intégrant cinq chaînes d’exploitation complètes et un total de 23 exploits. Il exploite des techniques de contournement de sécurité avancées et non divulguées, le rendant très efficace.

Le kit a circulé entre divers acteurs malveillants depuis février 2025, passant d’une opération de surveillance commerciale à un acteur étatique, puis à un groupe à motivation financière basé en Chine en décembre. Cette diffusion soulève des inquiétudes quant au marché des exploits “zero-day” et à leur réutilisation par différentes menaces.

L’exploitation de masse des appareils iOS par ce biais est une nouveauté, marquant une évolution des attaques par logiciel espion qui deviennent moins ciblées et plus généralisées. Le kit est conçu pour identifier le modèle d’iPhone et la version d’iOS avant de déployer l’exploit approprié.

Points clés :

  • Découverte : Kit d’exploitation Coruna (aka CryptoWaters) ciblant iOS.
  • Capacités : 5 chaînes d’exploitation complètes, 23 exploits.
  • Versions ciblées : iOS 13 à 17.2.1 (non efficace contre les versions les plus récentes).
  • Évolution : Passage d’opérateurs commerciaux à étatiques puis criminels.
  • Méthode de diffusion : Souvent via des iframes cachés sur des sites web compromis.
  • Évasion : Ne fonctionne pas sur les appareils en Mode Verrouillage ou en navigation privée.

Vulnérabilités exploitées (avec CVE si disponibles) :

Le kit Coruna exploite une série de vulnérabilités dans WebKit et d’autres composants d’iOS. Parmi celles identifiées, on trouve :

  • CVE-2020-27932 (versions 13.x)
  • CVE-2020-27950 (versions 13.x)
  • CVE-2021-30952 (versions 13 à 15.1.1)
  • CVE-2022-48503 (versions 15.2 à 15.5)
  • CVE-2023-32409 (versions 16.0 à 16.3.116.4.0)
  • CVE-2023-32434 (versions 14.5 à 15.7.6)
  • CVE-2023-38606 (versions 14.x)
  • CVE-2023-41974 (versions 16.4 à 16.7)
  • CVE-2023-43000 (versions 16.2 à 16.5.1) - Vulnérabilité use-after-free dans WebKit.
  • CVE-2024-23222 (versions 16.6 à 17.2.1) - Bug de confusion de type dans WebKit.
  • CVE-2024-23225 (versions 17.0 à 17.3)
  • CVE-2024-23296 (versions 17.1 à 17.4)

Certains de ces exploits, comme Photon et Gallium, ont été utilisés dans des opérations antérieures (Opération Triangulation).

Recommandations :

Pour se protéger contre ce type de menaces, il est fortement recommandé :

  • Mettre à jour régulièrement les appareils : Maintenez toujours votre iPhone à la dernière version d’iOS disponible. Les mises à jour corrigent les vulnérabilités connues.
  • Activer le Mode Verrouillage : Si vous craignez une attaque ciblée, activez le Mode Verrouillage pour une protection accrue.

Source

Vous pourriez aimer