Apple, Coruna exploit kitinin kullandığı CVE-2023-43010 numaralı WebKit açığını hedefleyen kritik güvenlik güncellemelerini eski iOS cihazlar için yayımladı. Bu zafiyet, kötü amaçlı hazırlanmış web içeriği işlenirken bellek bozulmasına neden olabiliyor ve iOS 17.2 ile başlayan güncellemelerle kapatıldı. Ancak, Apple bu korumayı iOS 15.8.7 ve iOS 16.7.15 gibi daha eski sürümlere de genişletti.
Saldırının Genel Çerçevesi
Coruna exploit kiti, iOS 13.0 ile 17.2.1 arasındaki iPhone modellerini hedef alan çok aşamalı bir saldırı zinciri içeriyor. Google tarafından ortaya çıkarılan analizlerde, kitin toplamda 23 farklı exploit barındırdığı ve bunların beş zincir halinde kullanıldığı belirtildi. Kötü amaçlı web içeriği üzerinden çalışan bu saldırılar, WebKit’teki use-after-free ve tip karışıklığı gibi bellek yönetimi hatalarını istismar ediyor.
Coruna’nın teknik altyapısı, CryptoWaters adlı malware framework’ü ile ilişkilendiriliyor ve ABD hükümetiyle bağlantılı tehdit aktörlerinin kullandığı benzer frameworklerle paralellikler taşıyor. Ayrıca, exploit kitin bazı bileşenlerinin Rusya’daki hedeflere yönelik Operation Triangulation kampanyasında da kullanıldığı tespit edildi.
Hangi Sistemler Risk Altında?
Güncellemeler, iPhone 6s, iPhone 7, iPhone SE (1. nesil), iPad Air 2, iPad mini 4 ve iPod touch 7. nesil gibi eski cihazları kapsıyor. Ayrıca iPhone 8, iPhone 8 Plus, iPhone X ve bazı iPad Pro modelleri de risk altında. Bu cihazlar, en son iOS sürümüne yükseltilemediği için Apple tarafından özel olarak desteklenen güvenlik yamalarıyla korunuyor.
Saldırı Zinciri ve Teknik Detaylar
- Kullanılan zafiyetler: CVE-2023-43010 (WebKit bellek bozulması), CVE-2023-43000 (WebKit use-after-free), CVE-2023-41974 (çekirdek use-after-free), CVE-2024-23222 (WebKit tip karışıklığı).
- Saldırı adımları: Kötü amaçlı web içeriği ile hedef cihazda bellek bozulması oluşturulması, ardından rastgele kod çalıştırılması ve çekirdek ayrıcalıkları elde edilmesi.
- Hedef sektörler: Mobil kullanıcılar, özellikle eski iOS cihaz sahipleri ve potansiyel olarak devlet kurumları ve askeri müteahhitler.
- Önerilen savunma: Güncel yamaların uygulanması, WebKit ve Safari güvenlik güncellemelerinin takip edilmesi, EDR çözümlerinin devreye alınması ve ağ segmentasyonu.
Sistem Yöneticileri İçin Pratik Güvenlik Kontrol Listesi
- Eski iOS ve iPadOS cihazlarda iOS 15.8.7 ve 16.7.15 güncellemelerini derhal uygulayın.
- Safari ve macOS Sonoma 14.2 güncellemelerini takip ederek WebKit açıklarını kapatın.
- EDR ve SIEM sistemlerinde WebKit ve çekirdek kullanımıyla ilgili anormal davranışları izlemek için özel kurallar oluşturun.
- Mobil cihaz yönetimi (MDM) politikalarıyla güncelleme uyumluluğunu zorunlu hale getirin.
- Ağ segmentasyonu ile kritik sistemleri eski cihazlardan izole edin.
- Olay müdahale planlarında WebKit tabanlı exploitlerin tespiti ve izolasyonu için prosedürler geliştirin.
- Çok faktörlü kimlik doğrulama (MFA) ve Zero Trust mimarisi uygulamalarını artırın.
- Güvenlik loglarını düzenli olarak analiz ederek şüpheli web trafiği ve bellek hatalarını tespit edin.
Kurumsal Ortamlarda Olası Senaryo
Bir finans kurumunda eski iPhone modelleri kullanan saha personeli, Coruna exploit kitinin hedefi olabilir. Kötü amaçlı bir web sitesi ziyaret edildiğinde, WebKit’teki bellek bozulması açığı kullanılarak cihazda yetkisiz kod çalıştırılabilir. Bu durum, kurumun hassas müşteri verilerinin sızmasına yol açabilir. Kurumun MDM çözümleri ile cihazların güncel tutulması, ağ segmentasyonu ve olay müdahale süreçlerinin etkin kullanımı bu riski azaltacaktır.
Sonuç olarak, Coruna exploit kitinin ortaya çıkardığı bu güvenlik açıkları, özellikle eski iOS cihazların güvenlik risklerini gözler önüne seriyor. Güncel yamaların uygulanması, gelişmiş tehdit tespiti ve kapsamlı güvenlik politikaları ile bu tür saldırılara karşı direnç artırılabilir.