Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlara, yaklaşık 10 aylık bir süreçte üç farklı grubun gerçekleştirdiği siber saldırılarda istismar edilen kritik üç iOS zafiyetini acilen yamalamaları yönünde talimat verdi. Bu saldırı kampanyaları, Google tarafından yayınlanan bir raporda ortaya çıktı.
Raporun detaylarına göre, tüm saldırı grupları Coruna adını verdikleri gelişmiş bir hackleme kiti kullanmış. Bu kit, 23 farklı iOS zafiyetini bir araya getirerek beş güçlü istismar zinciri oluşturmuş. Zafiyetlerden bazıları daha önceki, ilgisiz kampanyalarda 'sıfır gün' (zero-day) olarak kullanılmış olsa da, Google'ın gözlemleri sırasında Coruna tarafından istismar edilmeden önce yamalanmışlardı. Ancak eski iOS sürümleri hedeflendiğinde, kitin yüksek kalibreli istismar kodu ve geniş yetenek yelpazesi nedeniyle ciddi bir tehdit oluşturduğu belirtiliyor.
İkinci El 'Sıfır Gün' Zafiyetlerinin Gizemi
Google araştırmacıları, bu istismar kitinin temel teknik değerinin, kapsamlı iOS zafiyetleri koleksiyonunda yattığını vurguluyor. Zafiyetlerin, hem açıklayıcı belgeler hem de yerel İngilizce ile yazılmış yorumlar içerdiği belirtiliyor. En gelişmiş olanlarının ise kamuoyunda bilinmeyen istismar teknikleri ve savunma mekanizmalarını aşan yöntemler kullandığı ifade ediliyor.
CISA, CISA tarafından bilinen istismar edilen zafiyetler kataloğuna üç zafiyeti ekledi. Bu ekleme, CISA'nın yetki alanındaki tüm federal kurumların bu zafiyetleri yama yapmasını zorunlu kılıyor. CISA ayrıca tüm kuruluşlara aynı adımı atmalarını tavsiye etti. Bu istismarlar, iOS 13 ile 17.2.1 arasındaki sürümlerde çalışıyor. 17.2.1'den sonraki sürümler bu zafiyetlere karşı savunmasız değil. Ayrıca, Apple'ın Kilit Modu (Lockdown Mode) aktif olduğunda veya bir tarayıcı gizli modda kullanıldığında bu istismarların tetiklenmediği belirtildi.
Coruna'nın gelişmiş yetenekleri arasında, tespiti ve tersine mühendisliği önlemek için benzersiz bir gizleme yöntemi kullanan daha önce görülmemiş bir JavaScript çerçevesi bulunuyor. Çerçeve aktive edildiğinde, bir cihaz hakkında bilgi toplamak için parmak izi modülü çalıştırıyor. Sonuçlara bağlı olarak, çerçeve daha sonra uygun bir WebKit istismarını ve ardından işaretçi kimlik doğrulama kodu (pointer authentication code) olarak bilinen bir savunmayı aşan bir yöntem yüklüyor.
Coruna'nın aynı zamanda üç farklı hacker grubu tarafından kullanılmış olması da dikkat çekici. Google, Coruna'nın kullanımını ilk olarak geçen yılın Şubat ayında 'bir gözetim satıcısının müşterisi' tarafından yürütülen bir operasyonda tespit etti. Bu kampanyada istismar edilen ve CVE-2025-23222 olarak takip edilen zafiyet, 13 ay önce yamalanmıştı. 2025 Temmuz'unda ise 'Rusya kaynaklı olduğu düşünülen bir casusluk grubu', Ukraynalı hedeflerin sıkça ziyaret ettiği web sitelerine yerleştirilen saldırılarda CVE-2023-43000 zafiyetini istismar etti. Geçtiğimiz Aralık ayında ise Çinli finansal motivasyonlu bir tehdit aktörü tarafından kullanıldığında, Google tam istismar kitini kurtarabildi.
Google araştırmacıları, bu yayılmanın nasıl gerçekleştiğinin belirsiz olduğunu ancak 'ikinci el' sıfır gün istismarları için aktif bir pazar olduğunu gösterdiğini belirtti. Tespit edilen istismarların ötesinde, birden fazla tehdit aktörünün artık yeni tespit edilen zafiyetlerle yeniden kullanılabilecek ve değiştirilebilecek gelişmiş istismar teknikleri edindiğini ifade ettiler.
CISA, kurumları 'satıcı talimatlarına göre azaltıcı önlemleri uygulamaya, bulut hizmetleri için geçerli yönergeleri takip etmeye veya azaltıcı önlemler mevcut değilse ürünün kullanımını durdurmaya' yönlendiriyor. Kurum ayrıca, 'Bu tür zafiyetlerin kötü niyetli siber aktörler için sık görülen saldırı vektörleri olduğunu ve federal kurumsal yapı için önemli riskler taşıdığını' konusunda uyarıda bulundu.
