Revelan vulnerabilidad crítica en Apple que permite hackear iPhones y Macs

Apple lanzó recientemente actualizaciones de seguridad para corregir una vulnerabilidad de día cero (zero-day) explotada en el entorno por atacantes. La vulnerabilidad estaba siendo utilizada para hackear iPhones y Macs con versiones antiguas de iOS y macOS.

El día cero parcheado el jueves (identificado como CVE-2021-30869) fue encontrado en el kernel del sistema operativo XNU y fue reportado por Erye Hernandez y Clément Lecigne de Google Threat Analysis Group, e Ian Beer de Google Project Zero.

La explotación exitosa de esta vulnerabilidad conduce a la ejecución de código arbitrario con privilegios del kernel en dispositivos comprometidos.

“Apple está al tanto de un reporte de que este problema puede haber sido explotado activamente”, dijo Apple al describir la vulnerabilidad de día cero.

La lista completa de dispositivos afectados es la siguiente:

• iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (6ª generación) con iOS 12.5.5
• y Macs con actualización de seguridad 2021-006 Catalina.

Apple también realizó copias de seguridad de actualizaciones de seguridad para dos días cero previamente parcheados. Una de estas vulnerabilidades fue reportada por The Citizen Lab y fue utilizada para implementar el spyware Pegasus de NSO GROUP en dispositivos hackeados.

0day privilege escalation for macOS Catalina discovered in the wild by @eryeh https://t.co/yvCWPo45fL

We saw this used in conjunction with a N-day remote code execution targeting webkit.

Thanks to Apple for getting patch out so quickly.

— Shane Huntley (@ShaneHuntley) September 23, 2021

Larga lista de días cero explotados en el entorno

Además del día cero del jueves, Apple ha tenido que lidiar con lo que parece ser un flujo interminable de vulnerabilidades de día cero utilizadas en ataques dirigidos a dispositivos iOS y macOS:

• Dos días cero a principios de este mes, uno de ellos también se utilizó para instalar el spyware Pegasus en iPhones,
• El exploit FORCEDENTRY revelado en agosto (previamente identificado por Amnesty Tech como Megalodon),
• Tres días cero de iOS (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) en febrero, explotados en el entorno y reportados por investigadores anónimos
• Un día cero de iOS (CVE-2021-1879) en marzo que también puede haber sido explotado activamente,
• Un día cero en iOS (CVE-2021-30661) y uno en macOS (CVE-2021-30657) en abril, explotado por el malware Shlayer,
• Otros tres días cero de iOS (CVE-2021-30663, CVE-2021-30665 y CVE-2021-30666) en mayo. Estas vulnerabilidades permiten la ejecución de código remoto arbitrario (RCE) simplemente visitando sitios web maliciosos
• Un día cero en macOS (CVE-2021-30713) en mayo, que fue aprovechado por el malware XCSSET para evadir la protección de privacidad TCC de Apple,
• Dos vulnerabilidades de día cero de iOS (CVE-2021-30761 y CVE-2021-30762) en junio. Estas “pueden haber sido explotados activamente” para hackear dispositivos iPhone, iPad y iPod más antiguos.

Es importante recordad que una de las áreas de las que Apple solía jactarse en sus productos era la seguridad. No obstante, esta se ha visto muy afectada en los últimos meses.