-
09/04/2020
-
128
-
1.691 bài viết
Apple vá lỗ hổng WebKit bị khai thác bởi bộ công cụ tấn công Coruna
Apple vừa phát hành bản cập nhật bảo mật cho nhiều thiết bị iPhone, iPad và Mac chạy các phiên bản hệ điều hành cũ sau khi phát hiện một lỗ hổng nguy hiểm trong WebKit đang bị khai thác bởi bộ công cụ tấn công có tên Coruna exploit kit. Đáng chú ý, đây là lỗ hổng từng được Apple vá từ cuối năm 2023, nhưng nay hãng phải phát hành bản vá “backport” cho các thiết bị đời cũ không thể nâng cấp lên phiên bản iOS mới nhất.
Theo cảnh báo từ Apple, lỗ hổng này có thể khiến thiết bị bị hỏng bộ nhớ và thực thi mã độc chỉ bằng cách truy cập vào một trang web độc hại, đặt ra nguy cơ tấn công đối với hàng triệu thiết bị iPhone và iPad vẫn đang sử dụng các phiên bản hệ điều hành cũ.
Lỗ hổng bảo mật liên quan đến WebKit
Lỗ hổng được định danh CVE-2023-43010, tồn tại trong WebKit (bộ máy xử lý nội dung web được sử dụng trong trình duyệt Safari cũng như nhiều ứng dụng khác trên hệ sinh thái Apple).
WebKit là thành phần chịu trách nhiệm hiển thị nội dung web, xử lý JavaScript và các dữ liệu trang web. Khi người dùng mở một trang web, WebKit sẽ phân tích và hiển thị nội dung đó trên thiết bị. Theo Apple, lỗ hổng này có thể gây ra memory corruption (lỗi hỏng bộ nhớ) khi hệ thống xử lý các nội dung web được thiết kế đặc biệt bởi kẻ tấn công. Khi bộ nhớ bị hỏng, hệ thống có thể bị điều khiển để thực thi các đoạn mã ngoài ý muốn.
Apple cho biết lỗ hổng đã được khắc phục bằng cách cải thiện cơ chế xử lý dữ liệu trong WebKit. Bản vá ban đầu cho CVE-2023-43010 được phát hành trong các phiên bản:
WebKit là thành phần chịu trách nhiệm hiển thị nội dung web, xử lý JavaScript và các dữ liệu trang web. Khi người dùng mở một trang web, WebKit sẽ phân tích và hiển thị nội dung đó trên thiết bị. Theo Apple, lỗ hổng này có thể gây ra memory corruption (lỗi hỏng bộ nhớ) khi hệ thống xử lý các nội dung web được thiết kế đặc biệt bởi kẻ tấn công. Khi bộ nhớ bị hỏng, hệ thống có thể bị điều khiển để thực thi các đoạn mã ngoài ý muốn.
Apple cho biết lỗ hổng đã được khắc phục bằng cách cải thiện cơ chế xử lý dữ liệu trong WebKit. Bản vá ban đầu cho CVE-2023-43010 được phát hành trong các phiên bản:
- iOS 17.2 và iPadOS 17.2
- macOS Sonoma 14.2
- Safari 17.2
Apple phát hành bản vá cho các thiết bị đời cũ
Do nhiều thiết bị Apple đời cũ không thể cập nhật lên iOS 17, Apple đã phát hành bản vá bổ sung cho các hệ điều hành cũ hơn. Các bản cập nhật mới bao gồm:
iOS 15.8.7 và iPadOS 15.8.7. Áp dụng cho các thiết bị:
iOS 15.8.7 và iPadOS 15.8.7. Áp dụng cho các thiết bị:
- iPhone 6s
- iPhone 7
- iPhone SE (thế hệ 1)
- iPad Air 2
- iPad mini 4
- iPod Touch thế hệ 7
iOS 16.7.15 và iPadOS 16.7.15. Áp dụng cho:
- iPhone 8
- iPhone 8 Plus
- iPhone X
- iPad thế hệ 5
- iPad Pro 9.7 inch
- iPad Pro 12.9 inch thế hệ 1
Việc phát hành bản vá cho các thiết bị cũ cho thấy Apple đánh giá mức độ rủi ro của lỗ hổng này là đáng kể, đặc biệt khi nó liên quan đến một bộ công cụ khai thác đang tồn tại ngoài thực tế.
Coruna exploit kit - bộ công cụ tấn công nhắm vào iPhone
Lý do Apple phát hành bản vá bổ sung xuất phát từ việc lỗ hổng này được phát hiện trong Coruna exploit kit (một bộ công cụ khai thác lỗ hổng nhằm vào các thiết bị Apple).
Theo các nghiên cứu gần đây từ Google, Coruna bao gồm 23 lỗ hổng khai thác khác nhau, được tổ chức thành 5 chuỗi tấn công hoàn chỉnh. Bộ công cụ này có khả năng nhắm mục tiêu vào các thiết bị iPhone chạy iOS từ phiên bản 13.0 đến 17.2.1. Các chuỗi khai thác trong Coruna cho phép tin tặc kết hợp nhiều lỗ hổng với nhau để vượt qua các cơ chế bảo vệ của hệ điều hành, từ đó chiếm quyền kiểm soát thiết bị.
Công ty bảo mật iVerify, đơn vị theo dõi một framework phần mềm độc hại sử dụng Coruna có tên CryptoWaters, cho biết bộ công cụ này có nhiều điểm tương đồng với các framework tấn công từng được phát triển bởi những nhóm tin tặc có liên hệ với chính phủ Mỹ.
Theo các nghiên cứu gần đây từ Google, Coruna bao gồm 23 lỗ hổng khai thác khác nhau, được tổ chức thành 5 chuỗi tấn công hoàn chỉnh. Bộ công cụ này có khả năng nhắm mục tiêu vào các thiết bị iPhone chạy iOS từ phiên bản 13.0 đến 17.2.1. Các chuỗi khai thác trong Coruna cho phép tin tặc kết hợp nhiều lỗ hổng với nhau để vượt qua các cơ chế bảo vệ của hệ điều hành, từ đó chiếm quyền kiểm soát thiết bị.
Công ty bảo mật iVerify, đơn vị theo dõi một framework phần mềm độc hại sử dụng Coruna có tên CryptoWaters, cho biết bộ công cụ này có nhiều điểm tương đồng với các framework tấn công từng được phát triển bởi những nhóm tin tặc có liên hệ với chính phủ Mỹ.
Các lỗ hổng bổ sung liên quan đến Coruna
Ngoài CVE-2023-43010, Apple cũng vá thêm ba lỗ hổng khác liên quan đến Coruna trong bản cập nhật iOS 15.8.7 và iPadOS 15.8.7.
- CVE-2023-43000: Đây là lỗi use-after-free trong WebKit, xảy ra khi hệ thống giải phóng bộ nhớ nhưng vẫn tiếp tục sử dụng vùng bộ nhớ đó. Khi khai thác thành công, lỗ hổng có thể dẫn đến memory corruption khi xử lý nội dung web độc hại. Lỗi này đã được Apple vá lần đầu trong iOS 16.6 vào tháng 7/2023.
- CVE-2023-41974: Đây là lỗi use-after-free trong kernel của hệ điều hành. Nếu bị khai thác, một ứng dụng độc hại có thể thực thi mã với quyền kernel, tức quyền cao nhất trong hệ thống. Lỗ hổng này được Apple vá lần đầu trong iOS 17 vào tháng 9/2023.
- CVE-2024-23222: Đây là lỗi type confusion trong WebKit, cho phép kẻ tấn công thực thi mã tùy ý khi hệ thống xử lý nội dung web độc hại. Lỗ hổng được Apple vá trong iOS 17.3 vào tháng 01/2024.
Liên hệ với chiến dịch tấn công Operation Triangulation
Một điểm đáng chú ý là Coruna sử dụng hai lỗ hổng CVE-2023-32434 và CVE-2023-38606, từng được khai thác trong chiến dịch gián điệp mạng nổi tiếng Operation Triangulation nhắm vào người dùng iPhone tại Nga năm 2023.
Chiến dịch này từng được phát hiện bởi Kaspersky, và được xem là một trong những chiến dịch tấn công iPhone tinh vi nhất từng được ghi nhận. Tuy nhiên, các nhà nghiên cứu bảo mật cho rằng việc Coruna khai thác cùng lỗ hổng không đồng nghĩa với việc nó sử dụng lại mã nguồn từ chiến dịch Triangulation.
Theo Boris Larin, chuyên gia nghiên cứu bảo mật tại Kaspersky GReAT, nhiều nhóm tin tặc có đủ năng lực kỹ thuật hoàn toàn có thể tự phát triển các công cụ khai thác riêng nếu lỗ hổng đã được công khai.
Chiến dịch này từng được phát hiện bởi Kaspersky, và được xem là một trong những chiến dịch tấn công iPhone tinh vi nhất từng được ghi nhận. Tuy nhiên, các nhà nghiên cứu bảo mật cho rằng việc Coruna khai thác cùng lỗ hổng không đồng nghĩa với việc nó sử dụng lại mã nguồn từ chiến dịch Triangulation.
Theo Boris Larin, chuyên gia nghiên cứu bảo mật tại Kaspersky GReAT, nhiều nhóm tin tặc có đủ năng lực kỹ thuật hoàn toàn có thể tự phát triển các công cụ khai thác riêng nếu lỗ hổng đã được công khai.
Nghi vấn về nguồn gốc bộ công cụ Coruna
Một số báo cáo cho rằng Coruna có thể được phát triển bởi L3Harris, một nhà thầu quân sự của Mỹ. Các nghi vấn xuất hiện sau khi Peter Williams, cựu giám đốc tại công ty này, bị kết án hơn 7 năm tù vì bán nhiều lỗ hổng bảo mật cho một môi giới khai thác có liên hệ với Nga có tên Operation Zero. Tuy vậy, hiện chưa có bằng chứng chắc chắn để xác nhận mối liên hệ trực tiếp giữa Coruna và bất kỳ tổ chức hay nhóm APT cụ thể nào.
Nguy cơ đối với người dùng
Các lỗ hổng liên quan đến WebKit thường đặc biệt nguy hiểm vì chúng có thể bị khai thác chỉ thông qua việc người dùng truy cập một trang web độc hại. Trong trường hợp xấu nhất, kẻ tấn công có thể:
- Thực thi mã độc trên thiết bị
- Chiếm quyền điều khiển hệ thống
- Cài đặt phần mềm gián điệp
- Đánh cắp dữ liệu cá nhân
- Theo dõi hoạt động của người dùng
Do WebKit được sử dụng rộng rãi trong hệ sinh thái Apple, nguy cơ này có thể ảnh hưởng đến nhiều ứng dụng ngoài Safari.
Khuyến nghị bảo mật từ các chuyên gia
Các chuyên gia an ninh mạng khuyến cáo người dùng Apple cần thực hiện một số biện pháp để giảm thiểu rủi ro từ các lỗ hổng này:
- Cập nhật hệ điều hành ios, ipados hoặc macos lên phiên bản mới nhất có thể
- Tránh truy cập các trang web không đáng tin cậy
- Hạn chế cài đặt ứng dụng từ nguồn không rõ ràng
- Theo dõi các bản cập nhật bảo mật do Apple phát hành
Đối với các thiết bị không thể nâng cấp lên phiên bản iOS mới nhất, người dùng vẫn nên cài đặt các bản cập nhật bảo mật mới được Apple phát hành để giảm nguy cơ bị tấn công.
Việc Apple phải phát hành bản vá cho cả những thiết bị đời cũ cho thấy mức độ nghiêm trọng của các lỗ hổng liên quan đến bộ công cụ tấn công Coruna. Trong bối cảnh các công cụ khai thác ngày càng tinh vi và có thể kết hợp nhiều lỗ hổng để chiếm quyền kiểm soát thiết bị, việc cập nhật bản vá bảo mật kịp thời trở thành yếu tố quan trọng giúp người dùng bảo vệ thiết bị và dữ liệu cá nhân.
Sự việc lần này cũng cho thấy các lỗ hổng tưởng chừng đã được khắc phục từ trước vẫn có thể tiếp tục bị lợi dụng nếu người dùng hoặc tổ chức không cập nhật hệ thống kịp thời.
Việc Apple phải phát hành bản vá cho cả những thiết bị đời cũ cho thấy mức độ nghiêm trọng của các lỗ hổng liên quan đến bộ công cụ tấn công Coruna. Trong bối cảnh các công cụ khai thác ngày càng tinh vi và có thể kết hợp nhiều lỗ hổng để chiếm quyền kiểm soát thiết bị, việc cập nhật bản vá bảo mật kịp thời trở thành yếu tố quan trọng giúp người dùng bảo vệ thiết bị và dữ liệu cá nhân.
Sự việc lần này cũng cho thấy các lỗ hổng tưởng chừng đã được khắc phục từ trước vẫn có thể tiếp tục bị lợi dụng nếu người dùng hoặc tổ chức không cập nhật hệ thống kịp thời.