Агентство по кибербезопасности и инфраструктуре США (CISA) внесло три критические уязвимости iOS в каталог известных эксплуатируемых брешей. Эти ошибки использовались в рамках масштабных хакерских кампаний с применением мощного набора инструментов под названием Coruna.

Google Threat Intelligence Group (GTIG) обнаружила набор эксплойтов Coruna, который содержит 23 отдельные уязвимости для операционной системы iOS. По данным исследователей, инструментарий объединяет эти бреши в пять эффективных цепочек атак. Программный комплекс позволяет злоумышленникам обходить защитную «песочницу», а также механизмы безопасности Pointer Authentication Code (PAC) и Page Protection Layer (PPL). С помощью Coruna атакующие получают возможность удалённого выполнения кода в WebKit и повышения привилегий до уровня ядра (Kernel).

Техническая ценность набора заключается в использовании непубличных методов эксплуатации и обхода средств защиты. Специалисты Google отмечают высокий профессионализм разработчиков Coruna. Об этом свидетельствует наличие подробной документации к эксплойтам, включая комментарии и описания функций, составленные на нативном английском языке.

Эксперты GTIG зафиксировали использование Coruna тремя различными группами злоумышленников в течение десяти месяцев. В 2025 году группировка UNC6353, которую связывают с российскими интересами, проводила атаки типа «watering hole» против украинских пользователей. Другая группа, UNC6691 из Китая, применяла этот же инструментарий в масштабных кампаниях для кражи финансовых средств и криптовалюты.

Согласно позиции Google, распространение Coruna свидетельствует о существовании активного рынка «подержанных» zero-day эксплойтов. Хотя многие из уязвимостей ранее использовались как бреши «нулевого дня» в других кампаниях, разработчики Coruna включили их в свой пакет уже после выпуска официальных патчей. Тот факт, что различные хакерские объединения получили доступ к передовым техникам эксплуатации, позволяет им модифицировать их для новых атак.

CISA обязала федеральные гражданские исполнительные агентства (FCEB) устранить выявленные уязвимости до 26 марта 2026 года. Данное требование установлено в рамках директивы BOD 22-01. В список критических включены CVE-2021-30952, CVE-2023-41974 и CVE-2023-43000. В ведомстве подчеркивают, что данные ошибки несут значительный риск для правительственных сетей и требуют приоритетного исправления.

Выявленные уязвимости затрагивают широкий спектр устройств под управлением iOS — от версии 13.0, выпущенной в 2019 году, до версии 17.2.1. Представители Apple подтвердили информацию о сложных атаках на пользователей устаревших систем и выпустили соответствующие обновления. Компания рекомендует всем владельцам iPhone немедленно установить последнюю версию ОС. В случаях, когда обновление невозможно, рекомендуется включить соответствующий режим безопасности в качестве дополнительной меры защиты от сложных киберугроз.