La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ordenó a comienzos de marzo a las agencias federales que corrigieran tres fallos de seguridad de iOS que se utilizaban en ataques de ciberespionaje y criptorobo mediante el kit de exploits Coruna.
- CVE-2021-30952 Vulnerabilidad de desbordamiento de enteros o desbordamiento en múltiples productos de Apple
- CVE-2023-41974 Vulnerabilidad de uso después de la liberación de memoria en Apple iOS y iPadOS
- CVE-2023-43000 Vulnerabilidad de uso después de la liberación de fondos en múltiples productos de Apple
El kit de exploits Coruna bloqueado en dispositivos más antiguos
Tal como revelaron a principios de esta semana los investigadores del Grupo de Inteligencia de Amenazas de Google (GTIG), Coruna utiliza múltiples cadenas de exploits dirigidas a 23 vulnerabilidades de iOS, muchas de las cuales se utilizaron en ataques zero-day.
El 3 de marzo de 2026, Google advirtió sobre un potente kit de explotación dirigido a los modelos de iPhone de Apple que ejecutan iOS 13.0 iOS (lanzada en septiembre de 2019) hasta la versión 17.2.1 (lanzada en diciembre de 2023).
Sin embargo, estas vulnerabilidades no funcionarán en las versiones recientes de iOS y se bloquearán si el objetivo está utilizando la navegación privada o ha activado la función de protección antispyware Modo de aislamiento de Apple.
Apple solucionó estos fallos de seguridad con iOS 16.7.15 y iPadOS 16.7.15 así como en iOS 15.8.7 y iPadOS 15.8.7
Coruna proporciona a los ciberdelincuentes capacidades para eludir el Código de Autenticación de Puntero (PAC), escapar de entornos aislados (sandbox) y eludir la Capa de Protección de Página (PPL), y les permite obtener la ejecución remota de código WebKit y escalar permisos a privilegios de kernel en dispositivos vulnerables.
GTIG observó que el kit de exploits fue utilizado por múltiples actores maliciosos el año pasado, incluyendo un cliente de un proveedor de vigilancia, un presunto grupo de hackers respaldado por el estado ruso (UNC6353) y un actor malicioso chino con motivaciones financieras (UNC6691).
Este último lo desplegó en sitios web falsos de apuestas y criptomonedas y lo utilizó para distribuir un programa malicioso diseñado para robar las carteras de criptomonedas de las víctimas infectadas.
La empresa de seguridad móvil iVerify también afirmó que Coruna es un ejemplo de «sofisticadas capacidades propias de un software espía» que pasaron «de proveedores de vigilancia comerciales a manos de actores estatales y, en última instancia, a operaciones criminales a gran escala».
Este tipo de vulnerabilidades son vectores de ataque frecuentes para los ciberdelincuentes y representan riesgos significativos para las instituciones federales.
Aunque la Directiva BOD 22-01 se aplica únicamente a las agencias federales, la CISA instó a todas las organizaciones, incluidas las empresas del sector privado, a priorizar la corrección de estas vulnerabilidades para proteger sus dispositivos contra los ataques lo antes posible.
