Skip to content

Fed, 알 수 없는 상황에서 악용되는 iOS 취약점 주목

Posted in tech

Coruna는 세 가지 해킹 그룹이 사용하는 것으로도 유명합니다. 구글은 지난해 2월 ‘감시 업체의 고객’이 수행한 작업에서 이같은 사용을 처음 발견했다. CVE-2025-23222로 추적되는 악용된 취약점은 13개월 전에 패치되었습니다. 2025년 7월, “러시아 스파이로 의심되는 그룹”은 우크라이나 대상이 자주 방문하는 웹 사이트에 심어진 공격에서 CVE-2023-43000을 악용했습니다. 지난 12월, “금전적 동기를 지닌 중국의 위협 행위자”가 이를 사용했을 때 Google은 전체 익스플로잇 킷을 검색할 수 있었습니다.

구글은 “이러한 확산이 어떻게 발생했는지는 불분명하지만 ‘중고’ 제로데이 익스플로잇 시장이 활발하다는 것을 시사한다”고 밝혔습니다. “이러한 식별된 익스플로잇 외에도 여러 위협 행위자가 이제 새로 식별된 취약점으로 재사용하고 수정할 수 있는 고급 익스플로잇 기술을 획득했습니다.”

Google 연구원들은 계속해서 다음과 같이 썼습니다.

우리는 페이로드 종료를 포함하여 모든 난독화된 익스플로잇을 검색했습니다. 추가 분석을 통해 우리는 공격자가 내부 코드 이름을 포함하여 모든 공격을 명확하게 남겨두고 익스플로잇 키트의 디버그 버전을 배포한 사례를 발견했습니다. 그때 우리는 익스플로잇 킷이 내부적으로 Coruna로 명명되었을 가능성이 높다는 사실을 알게 되었습니다. 전체적으로 우리는 총 5개의 전체 iOS 익스플로잇 체인을 포괄하는 수백 개의 샘플을 수집했습니다. 이 익스플로잇 킷은 iOS 버전 13.0(2019년 9월 출시)부터 버전 17.2.1(2023년 12월 출시)을 실행하는 다양한 iPhone 모델을 대상으로 할 수 있습니다.

코드명 및 기타 정보와 함께 23개의 익스플로잇은 다음과 같습니다.

유형 코드명 대상 버전(포함) 고정 버전 CVE
웹콘텐츠 R/W 버프 아웃 13 → 15.1.1 15.2 CVE-2021-30952
웹콘텐츠 R/W 자쿠루투 15.2 → 15.5 15.6 CVE-2022-48503
웹콘텐츠 R/W 블루버드 15.6 → 16.1.2 16.2 CVE 없음
웹콘텐츠 R/W 테러버드 16.2 → 16.5.1 16.6 CVE-2023-43000
웹콘텐츠 R/W 화식조 16.6 → 17.2.1 16.7.5, 17.3 CVE-2024-23222
WebContent PAC 우회 상쾌한 13 → 14.x ? CVE 없음
WebContent PAC 우회 미풍15 15 → 16.2 ? CVE 없음
WebContent PAC 우회 16.3 → 16.5.1 ? CVE 없음
WebContent PAC 우회 Seedbell_16_6 16.6 → 16.7.12 ? CVE 없음
WebContent PAC 우회 종종_17 17 → 17.2.1 ? CVE 없음
WebContent 샌드박스 탈출 아이언로더 16.0 → 16.3.116.4.0(<= A12) 15.7.8, 16.5 CVE-2023-32409
WebContent 샌드박스 탈출 뉴런로더 16.4.0 → 16.6.1 (A13-A16) 17.0 CVE 없음
체육 중성자 13.X 14.2 CVE-2020-27932
PE(정보 유출) 발전기 13.X 14.2 CVE-2020-27950
체육 흔들리는 추 14 → 14.4.x 14.7 CVE 없음
체육 광자 14.5 → 15.7.6 15.7.7, 16.5.1 CVE-2023-32434
체육 시차 16.4 → 16.7 17.0 CVE-2023-41974
체육 그루버 15.2 → 17.2.1 16.7.6, 17.3 CVE 없음
PPL 바이패스 쿼크 13.X 14.5 CVE 없음
PPL 바이패스 갈륨 14.x 15.7.8, 16.6 CVE-2023-38606
PPL 바이패스 카본 15.0 → 16.7.6 17.0 CVE 없음
PPL 바이패스 참새 17.0 → 17.3 16.7.617.4 CVE-2024-23225
PPL 바이패스 로켓 17.1 → 17.4 16.7.8, 17.5 CVE-2024-23296

CISA는 카탈로그에 CVE 중 3개만 추가하고 있습니다. 그들은:

  • CVE-2021-30952 Apple 여러 제품 정수 오버플로 또는 랩어라운드 취약점
  • CVE-2023-41974 Apple iOS 및 iPadOS Use-After-Free 취약점
  • CVE-2023-43000 Apple 여러 제품 Use-After-Free 취약점

CISA는 기관에 “공급업체 지침에 따라 완화 조치를 적용하고, 클라우드 서비스에 대한 해당 지침을 따르거나, 완화 조치를 사용할 수 없는 경우 제품 사용을 중단”하도록 지시하고 있습니다. 기관은 계속해서 다음과 같이 경고했습니다. “이러한 유형의 취약점은 악의적인 사이버 행위자에 대한 빈번한 공격 벡터이며 연방 기업에 심각한 위험을 초래합니다.”

관련 기사

Be First to Comment

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다