Apple ha publicado este miércoles una serie de actualizaciones para iOS, iPadOS, macOS, watchOS y el navegador Safari con el fin de solucionar una serie de fallos que, según ha afirmado, se están explotando activamente en la red.
Esto incluye un par de días cero que han sido utilizados como armas en una campaña de vigilancia móvil llamada Operación Triangulación que ha estado activa desde 2019. Se desconoce el actor de amenaza exacto detrás de la campaña.
- CVE-2023-32434 - Una vulnerabilidad de desbordamiento de enteros en el Kernel que podría ser explotada por una app maliciosa para ejecutar código arbitrario con privilegios del kernel.
- CVE-2023-32435 - Una vulnerabilidad de corrupción de memoria en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web especialmente diseñado.
El aviso se produce cuando el proveedor ruso de ciberseguridad diseccionó el implante de spyware utilizado en la campaña de ataque de clic cero dirigida a dispositivos iOS a través de iMessages que llevaban un archivo adjunto con un exploit para una vulnerabilidad de ejecución remota de código (RCE).
El código del exploit también está diseñado para descargar componentes adicionales para obtener privilegios de root en el dispositivo de destino, después de lo cual la puerta trasera se despliega en la memoria y el iMessage inicial se elimina para ocultar el rastro de la infección.
El sofisticado implante, denominado TriangleDB, opera únicamente en la memoria, sin dejar rastro de la actividad tras el reinicio del dispositivo. También viene con diversas capacidades de recopilación y rastreo de datos.
Esto incluye "interactuar con el sistema de archivos del dispositivo (incluyendo la creación, modificación, exfiltración y eliminación de archivos), gestionar procesos (listado y terminación), extraer elementos del llavero para recopilar credenciales de la víctima y monitorizar la geolocalización de la víctima, entre otros."
Kaspersky también ha lanzado una utilidad llamada "triangle_check" que las organizaciones pueden utilizar para escanear las copias de seguridad de los dispositivos iOS y buscar cualquier signo de compromiso en sus dispositivos.
Apple también ha parcheado un tercer zero-day CVE-2023-32439, que ha sido reportado de forma anónima y que podría resultar en la ejecución de código arbitrario al procesar contenido web malicioso.
El fallo explotado activamente, descrito como un problema de confusión de tipos, se ha solucionado con comprobaciones mejoradas. Las actualizaciones están disponibles para las siguientes plataformas
- iOS 16.5.1 y iPadOS 16.5.1 - iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3ª generación y posteriores, iPad de 5ª generación y posteriores, y iPad mini de 5ª generación y posteriores.
- iOS 15.7.7 y iPadOS 15.7.7 - iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1ª generación), iPad Air 2, iPad mini (4ª generación) e iPod touch (7ª generación)
- macOS Ventura 13.4.1, macOS Monterey 12.6.7 y macOS Big Sur 11.7.8
- watchOS 9.5.2 - Apple Watch Series 4 y posteriores
- watchOS 8.8.1 - Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7 y SE, y
- Safari 16.5.1 - Macs con macOS Monterey
- Con la última ronda de correcciones, Apple ha resuelto un total de nueve fallos de día cero en sus productos desde principios de año.
En febrero, la compañía tapó un fallo de WebKit (CVE-2023-23529) que podía dar lugar a la ejecución remota de código. En abril, publicó actualizaciones para resolver dos fallos (CVE-2023-28205 y CVE-2023-28206) que permitían la ejecución de código con privilegios elevados.
Posteriormente, en mayo, envió parches para otras tres vulnerabilidades en WebKit (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) que podían permitir a un agente de amenazas escapar a la protección de sandbox, acceder a datos confidenciales y ejecutar código arbitrario.
¿Te ha parecido interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.