Fed chú ý đến các lỗ hổng i OS bị khai thác trong các trường hợp bí ẩn

Tác giả tanthanh 13/03/2026 14 phút đọc

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng đã ra lệnh cho các cơ quan liên bang vá ba lỗ hổng iOS quan trọng đã bị khai thác trong khoảng thời gian 10 tháng trong các chiến dịch hack do ba nhóm riêng biệt thực hiện.

Các chiến dịch hack được đưa ra ánh sáng vào thứ Năm trong một báo cáo được xuất bản bởi Google. Cả ba chiến dịch đều sử dụng Coruna, tên của một bộ công cụ hack tiên tiến đã tích lũy 23 khai thác iOS riêng biệt thành năm chuỗi khai thác mạnh m. Mặc dù một số lỗ hổng đã bị khai thác dưới dạng zero-days trong các chiến dịch trước đó, không liên quan, nhưng tất cả đều đã được vá vào thời điểm Google quan sát thấy chúng bị Coruna khai thác. Tuy nhiên, khi được sử dụng để chống lại các phiên bản iOS cũ hơn, bộ công cụ này gây ra mối đe dọa ghê gớm do mã khai thác có tầm cỡ cao và nhiều khả năng.

Trường hợp 2nd-hand zero-days lăng nhăng

“Giá trị kỹ thuật cốt lõi của bộ khai thác này nằm ở bộ sưu tập toàn diện các khai thác iOS, các nhà nghiên cứu của Google viết. “Việc khai thác có tài liệu phong phú, bao gồm các chuỗi tài liệu và nhận xét được viết bằng tiếng Anh bản địa. Những công nghệ tiên tiến nhất đang sử dụng các kỹ thuật khai thác không công khai và đường tránh giảm thiểu.”

Vào thứ Sáu, CISA thêm vào ba trong số các lỗ hổng trong danh mục các lỗ hổng bị khai thác đã biết. Mục nhập yêu cầu tất cả các cơ quan liên bang thuộc thẩm quyền của CISA vá các lỗ hổng. CISA tiếp tục tư vấn cho tất cả các tổ chức cũng làm như vậy. Việc khai thác hoạt động trên iOS phiên bản 13 đến 17.2.1. Các phiên bản ngoài 17.2.1 không dễ bị tấn công. Các khai thác cũng không kích hoạt khi Apple Lockdown được kích hoạt hoặc một trình duyệt được đặt thành duyệt web riêng tư.

Các khả năng nâng cao của Coruna bao gồm một khung JavaScript chưa từng thấy trước đây sử dụng phương pháp làm xáo trộn duy nhất để ngăn chặn việc phát hiện và kỹ thuật đảo ngược. Khi được kích hoạt, framework sẽ chạy một mô-đun lấy dấu vân tay để thu thập thông tin về một thiết b. Dựa trên kết quả, khung sau đó sẽ tải một khai thác WebKit phù hợp, sau đó là bỏ qua để bảo vệ được gọi là mã xác thực con trỏ.

Coruna cũng đáng chú ý vì được sử dụng bởi ba nhóm hack riêng biệt. Google lần đầu tiên phát hiện việc sử dụng nó vào tháng 2 năm ngoái trong một hoạt động được thực hiện bởi một khách hàng “của một nhà cung cấp giám sát.” Lỗ hổng bị khai thác, được theo dõi là CVE-2025-23222, đã được vá 13 tháng trước đó. Vào tháng 7 năm 2025, một “bị nghi ngờ là nhóm gián điệp Nga” đã khai thác CVE-2023-43000 trong các cuộc tấn công được thực hiện trên các trang web mà các mục tiêu Ukraine thường xuyên lui tới. Tháng 12 năm ngoái, khi nó được sử dụng bởi một tác nhân đe dọa có động cơ tài chính từ Trung Quốc,“Google đã có thể lấy lại bộ khai thác hoàn chỉnh.

“Sự phổ biến này xảy ra như thế nào vẫn chưa rõ ràng, nhưng gợi ý một thị trường tích cực cho việc khai thác ‘second hand’ zero-day,” Google viết. “Ngoài những cách khai thác đã được xác định này, nhiều tác nhân đe dọa hiện đã có được các kỹ thuật khai thác tiên tiến có thể được sử dụng lại và sửa đổi với các lỗ hổng mới được xác định.”

Các nhà nghiên cứu của Google tiếp tục viết:

Chúng tôi đã truy xuất tất cả các khai thác bị xáo trộn, bao gồm cả tải trọng kết thúc. Sau khi phân tích sâu hơn, chúng tôi nhận thấy một trường hợp trong đó tác nhân triển khai phiên bản gỡ lỗi của bộ khai thác, để lại rõ ràng tất cả các khai thác, bao gồm cả tên mã nội bộ của chúng. Đó là khi chúng tôi biết rằng bộ khai thác có khả năng được đặt tên nội bộ là Coruna. Tổng cộng, chúng tôi đã thu thập được vài trăm mẫu bao gồm tổng cộng năm chuỗi khai thác i OS đầy đ. Bộ khai thác có thể nhắm mục tiêu vào nhiều mẫu iPhone khác nhau chạy iOS phiên bản 13.0 (phát hành vào tháng 9 năm 2019) cho đến phiên bản 17.2.1 (phát hành vào tháng 12 năm 2023).

23 cách khai thác, cùng với tên mã và các thông tin khác, là:

Loại	Tên mã	Phiên bản được nhắm mục tiêu (bao gồm)	Các phiên bản cố định	CVE
Nội dung web R/W	buffout	13 → 15.1.1	15.2	CVE-2021-30952
Nội dung web R/W	jacurutu	15,2 → 15,5	15,6	CVE-2022-48503
Nội dung web R/W	chim xanh	15,6 → 16.1.2	16.2	Không CVE
Nội dung web R/W	chim khủng bố	16,2 → 16,5,1	16,6	CVE-2023-43000
Nội dung web R/W	đà điểu	16,6 → 17.2.1	16.7.5, 17.3	CVE-2024-23222
Bỏ qua WebContent PAC	gió nhẹ	13 → 14.x	?	Không CVE
Bỏ qua WebContent PAC	gió nhẹ15	15 → 16,2	?	Không CVE
Bỏ qua WebContent PAC	chuông hạt	16,3 → 16,5,1	?	Không CVE
Bỏ qua WebContent PAC	chuông hạt_16_6	16,6 → 16,7,12	?	Không CVE
Bỏ qua WebContent PAC	chuông hạt_17	17 → 17.2.1	?	Không CVE
WebContent sandbox thoát	IronLoader	16,0 → 16.3.116.4.0 (<= A12)	15.7.8, 16.5	CVE-2023-32409
WebContent sandbox thoát	NeuronLoader	16.4.0 → 16.6.1 (A13-A16)	17.0	Không CVE
PE	Neutron	13.X X X X X X	14.2	CVE-2020-27932
PE (infoleak)	Máy phát điện	13.X X X X X X	14.2	CVE-2020-27950
PE	Con lắc	14 → 14.4.x	14,7	Không CVE
PE	Photon	14,5 → 15,7,6	15.7.7, 16.5.1	CVE-2023-32434
PE	Thị sai	16,4 → 16,7	17.0	CVE-2023-41974
PE	Gruber	15,2 → 17.2.1	16.7.6, 17.3	Không CVE
Đường tránh PPL	Quark	13.X X X X X X	14,5	Không CVE
Đường tránh PPL	Gallium	14.x	15.7.8, 16.6	CVE-2023-38606
Đường tránh PPL	Xương sống	15,0 → 16,7,6	17.0	Không CVE
Đường tránh PPL	Chim sẻ	17,0 → 17,3	16.7.6, 17,4	CVE-2024-23225
Đường tránh PPL	Tên lửa	17,1 → 17,4	16.7.8, 17.5	CVE-2024-23296

CISA chỉ bổ sung ba CVE vào danh mục của mình. Họ là:

CVE-2021-30952 Lỗ hổng tràn số nguyên hoặc bao quanh nhiều sản phẩm của Apple
CVE-2023-41974 Lỗ hổng sử dụng iOS và iPadOS sau miễn phí của Apple
CVE-2023-43000 Apple Nhiều sản phẩm Lỗ hổng sử dụng sau miễn phí

CISA đang chỉ đạo các cơ quan “áp dụng các biện pháp giảm thiểu theo hướng dẫn của nhà cung cấp, tuân theo... hướng dẫn hiện hành cho các dịch vụ đám mây hoặc ngừng sử dụng sản phẩm nếu không có biện pháp giảm thiểu.” Cơ quan này tiếp tục cảnh báo: “Những loại lỗ hổng này là vectơ tấn công thường xuyên đối với các tác nhân mạng độc hại và gây ra rủi ro đáng kể cho doanh nghiệp liên bang.”