Apple ha abordado con prontitud tres nuevas vulnerabilidades zero-day que fueron explotadas en ataques para instalar el spyware Triangulation en iPhones mediante exploits zero-click en iMessage.
La empresa ha reconocido que estas vulnerabilidades, denominadas CVE-2023-32434 y CVE-2023-32435, han sido activamente explotadas en versiones de iOS anteriores a la versión 15.7. Estos fallos de seguridad del kernel y WebKit fueron descubiertos y reportados por los investigadores de seguridad de Kaspersky, Georgy Kucherin, Leonid Bezvershenko y Boris Larin.
Kaspersky, en su informe sobre el tema, reveló detalles adicionales sobre el componente del spyware iOS utilizado en la campaña conocida como «Operación Triangulation». Según Kaspersky, el spyware, denominado TriangleDB, se implanta después de que los atacantes obtienen privilegios de root en el dispositivo iOS objetivo aprovechando una vulnerabilidad del kernel. Este spyware se instala en la memoria del dispositivo, lo que significa que se elimina por completo al reiniciar el dispositivo. Si el dispositivo no se reinicia, el spyware se desinstala automáticamente después de 30 días, a menos que los atacantes extiendan ese período.
Estos ataques han estado ocurriendo desde 2019 y aún continúan, según Kaspersky. La compañía informó recientemente que algunos iPhones en su red se habían infectado con este spyware desconocido previamente a través de exploits zero-click en iMessage, aprovechando vulnerabilidades zero-day en iOS.
Tras la publicación del informe de Kaspersky, el servicio de inteligencia y seguridad FSB de Rusia afirmó que Apple proporcionó una puerta trasera a la NSA para infectar iPhones en Rusia con spyware. Según el FSB, encontraron miles de iPhones infectados pertenecientes a funcionarios del gobierno ruso y personal de embajadas en Israel, China y países miembros de la OTAN.
En respuesta a estas acusaciones, Apple afirmó que nunca han trabajado con ningún gobierno para insertar puertas traseras en sus productos y que nunca lo harán.
Además de solucionar estas vulnerabilidades zero-day, Apple también ha corregido otra vulnerabilidad zero-day en WebKit (CVE-2023-32439) reportada por un investigador anónimo. Esta vulnerabilidad permitía a los atacantes ejecutar código arbitrario en dispositivos sin parchear aprovechando un problema de confusión de tipos.
La empresa ha lanzado actualizaciones para abordar estas vulnerabilidades en varios sistemas operativos, incluyendo macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, iOS 16.5.1 and iPadOS 16.5.1, iOS 15.7.7 and iPadOS 15.7.7, watchOS 9.5.2, y watchOS 8.8.1. Estas actualizaciones incluyen mejoras en las comprobaciones, validación de entrada y gestión de estado.
Es importante destacar que Apple ha parcheado un total de nueve vulnerabilidades zero-day desde principios de año. Estas vulnerabilidades han sido utilizadas en ataques reales para comprometer iPhones, Macs y iPads. La empresa ha demostrado su compromiso con la seguridad y la protección de sus usuarios al abordar rápidamente estas amenazas y proporcionar actualizaciones de seguridad para mitigar los riesgos.
