Apple a publié des mises à jour de sécurité pour les anciens iPhone et iPad afin de corriger les vulnérabilités ciblées par le kit d'exploitation Coruna, utilisé dans des attaques de cyberspionnage et de vol de cryptomonnaie depuis février 2025. Ces correctifs concernent les appareils qui ne peuvent pas exécuter la dernière version d'iOS et qui n'ont pas pu bénéficier des correctifs précédents appliqués aux nouveaux matériels.

Dans les annonces de sécurité publiées mercredi, Apple a indiqué que cette mise à jour apporte ce correctif aux appareils qui ne peuvent pas être mis à jour vers la dernière version d'iOS.

Apple a commencé à corriger les vulnérabilités Coruna utilisées dans de véritables attaques depuis le début de 2025

Le kit d'exploitation Coruna est signalé comme étant lié à plusieurs campagnes d'attaques depuis le début de 2025. Les chercheurs en sécurité affirment que ce kit contient plusieurs chaînes d'exploitation capables d'exécuter du code à distance ou d'obtenir des privilèges au niveau du noyau sur des appareils vulnérables.

Les mises à jour d'Apple traitent plusieurs vulnérabilités ciblées par le cadre, parmi lesquelles :

  • CVE-2023-41974 : Vulnérabilité de libération après utilisation du noyau, corrigée par une gestion de mémoire améliorée
  • CVE-2024-23222 : Problème de confusion de type WebKit traité avec des contrôles améliorés
  • CVE-2023-43000 : Vulnérabilité de libération après utilisation de WebKit
  • CVE-2023-43010 : Erreur de gestion de la mémoire WebKit

Beaucoup de ces problèmes avaient déjà été corrigés dans les versions plus récentes d'iOS, mais n'avaient pas encore été patchés sur les anciens appareils.

Appareils affectés par le kit d'exploitation Coruna

Les mises à jour sont appliquées aux appareils exécutant iOS 15.8.7 et iPadOS 15.8.7, ainsi qu'à ceux exécutant iOS 16.7.15 et iPadOS 16.7.15. Les matériels affectés sont :

  • iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1ère génération), iPhone 8, iPhone 8 Plus et iPhone X
  • iPad Air 2, iPad mini (4ème génération), iPad (5ème génération), iPad Pro 9,7 pouces, iPad Pro 12,9 pouces (1ère génération) et iPod touch (7ème génération)

Trois groupes de menaces utilisant le kit d'exploitation Coruna

Selon une déclaration du Groupe de renseignement sur les menaces de Google (GTIG), le kit d'exploitation Coruna est utilisé par au moins trois groupes de menaces différents depuis février 2025. Parmi eux, un groupe soupçonné d'être soutenu par l'État russe, identifié sous le nom de UNC6353, un client d'un vendeur de surveillance, et un acteur de menace chinois motivé par des intérêts financiers, identifié sous le nom de UNC6691.

UNC6691 a distribué le kit d'exploitation en livrant des logiciels malveillants qui volent des données de portefeuille de cryptomonnaie à partir d'appareils infectés via de faux sites de jeux d'argent et de cryptomonnaie.

CISA ordonne aux agences américaines de patcher les vulnérabilités exploitées par Coruna

L'Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a récemment ajouté plusieurs vulnérabilités exploitées par Coruna à son catalogue des vulnérabilités exploitées connues.

Les agences fédérales ont reçu l'instruction d'appliquer des correctifs aux appareils affectés d'ici le 26 mars. Apple recommande aux utilisateurs de mettre à jour leurs appareils dès que possible pour se protéger contre ces vulnérabilités ; il leur suffit de suivre le chemin Réglages > Général > Mise à jour logicielle pour effectuer la mise à jour.

Apple n'a pas précisé si d'autres correctifs rétroportés pour ce kit d'exploitation étaient prévus.