AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### CISA exige a agencias federales parchear tres vulnerabilidades críticas de iOS explotadas por DarkSword en robos de criptomonedas y ciberespionaje

admin

#### 1. Introducción

La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) ha emitido una directiva de emergencia dirigida a todas las agencias federales para que apliquen urgentemente parches de seguridad contra tres vulnerabilidades críticas de iOS. Estas fallas están siendo activamente explotadas mediante el kit de explotación DarkSword, una herramienta avanzada empleada en campañas tanto de robo de criptomonedas como de ciberespionaje dirigido. La orden, incluida en el catálogo de vulnerabilidades explotadas conocidas (KEV), subraya la gravedad y el alcance de estas amenazas, que afectan no solo a la Administración estadounidense, sino también a organizaciones y profesionales del sector privado a nivel global.

#### 2. Contexto del Incidente o Vulnerabilidad

El incremento de ciberataques dirigidos contra dispositivos móviles, especialmente en el entorno iOS, ha sido una constante durante los últimos años, en parte debido a la percepción de que estos sistemas ofrecen mayor seguridad respecto a otras plataformas. Sin embargo, las recientes campañas detectadas han puesto de manifiesto la existencia de vulnerabilidades críticas en versiones recientes de iOS, explotadas de manera coordinada mediante kits de explotación avanzados como DarkSword.

En esta ocasión, los actores de amenaza han orientado sus ataques hacia dispositivos utilizados por empleados gubernamentales y usuarios con activos en criptomonedas, aprovechando lagunas de seguridad en la cadena de actualización de Apple y en la gestión de memoria de iOS. Las vulnerabilidades han sido identificadas como CVE-2022-46690, CVE-2023-28206 y CVE-2023-28205.

#### 3. Detalles Técnicos

Las tres vulnerabilidades que motivan la directiva de CISA presentan características técnicas relevantes para equipos de seguridad y respuesta a incidentes:

– **CVE-2022-46690:** Permite la ejecución remota de código a través de la manipulación de contenido web malicioso, explotando una corrupción de memoria en WebKit. El atacante puede conseguir la ejecución de payloads arbitrarios en el contexto del proceso del navegador.
– **CVE-2023-28206:** Vulnerabilidad de escalada de privilegios en el kernel de iOS. Explotada en cadena junto a la anterior, posibilita a un atacante escapar del sandbox y ejecutar código con permisos de sistema.
– **CVE-2023-28205:** Permite la ejecución de código arbitrario a través de la carga de archivos especialmente diseñados, afectando a dispositivos con versiones de iOS anteriores a 15.7.5 y 16.4.1.

El kit de explotación **DarkSword** se caracteriza por su modularidad y capacidad de evasión, integrando técnicas de ofuscación y persistencia avanzada. Los TTP (Tactics, Techniques and Procedures) observados se alinean con los identificadores MITRE ATT&CK T1204 (User Execution: Malicious Link) y T1068 (Exploitation for Privilege Escalation). Los indicadores de compromiso (IoC) identificados incluyen dominios de phishing, payloads cifrados y firmas SHA256 relacionadas con los exploits.

#### 4. Impacto y Riesgos

El impacto de estas vulnerabilidades es significativo, tanto en términos de confidencialidad como de integridad y disponibilidad. Se han documentado ataques dirigidos a altos cargos gubernamentales y usuarios con altos volúmenes de activos en criptomonedas, donde los atacantes han logrado el robo de credenciales, monederos digitales y datos sensibles. Según estimaciones de CISA y firmas de análisis, el porcentaje de dispositivos potencialmente vulnerables en entorno empresarial supera el 28% en EE.UU. y Europa, mientras que las pérdidas económicas asociadas a robos de criptomonedas relacionados con estas campañas podrían superar los 12 millones de dólares en el último trimestre.

#### 5. Medidas de Mitigación y Recomendaciones

CISA ha establecido el 4 de julio de 2024 como fecha límite para que las agencias federales apliquen los parches de seguridad publicados por Apple. Se recomienda, además:

– Actualizar todos los dispositivos iOS a las versiones 15.7.5, 16.4.1 o superiores.
– Implementar controles de acceso y segmentación de red para dispositivos móviles.
– Monitorizar logs y tráfico de red en busca de IoC asociados a DarkSword.
– Capacitar a los usuarios sobre riesgos de phishing y descarga de archivos maliciosos.
– Valorar la integración de soluciones EDR especializadas para dispositivos móviles.

#### 6. Opinión de Expertos

Especialistas en seguridad móvil, como Ryan Stortz (Trail of Bits), advierten que la sofisticación de kits como DarkSword marca un punto de inflexión en el arsenal de los grupos APT, tradicionalmente centrados en plataformas Windows y Android. “La explotación en cadena de múltiples CVEs en iOS demuestra que la supuesta invulnerabilidad del ecosistema Apple es un mito cada vez menos sostenible. La industria debe asumir que la superficie de ataque móvil es tan crítica como la de los endpoints tradicionales”, afirma Stortz.

#### 7. Implicaciones para Empresas y Usuarios

Para el sector empresarial, especialmente en industrias reguladas bajo GDPR o la inminente directiva NIS2, la explotación de estas vulnerabilidades supone un riesgo de brechas de datos, sanciones regulatorias y daño reputacional. Las organizaciones deben revisar sus políticas de gestión de dispositivos móviles (MDM), reforzar la monitorización de amenazas y garantizar la actualización continua de software en todos los endpoints móviles.

Para los usuarios individuales, la recomendación es clara: actualizar a la última versión disponible de iOS, evitar descargar aplicaciones fuera de la App Store oficial y desconfiar de enlaces o archivos sospechosos recibidos por mensajería o correo electrónico.

#### 8. Conclusiones

La orden de CISA resalta la importancia de una respuesta ágil y coordinada ante la explotación activa de vulnerabilidades críticas en iOS. La sofisticación de herramientas como DarkSword y el enfoque en objetivos de alto valor, desde administraciones públicas hasta usuarios con activos en criptomonedas, obligan a replantear la estrategia de seguridad móvil en empresas y organismos. El cumplimiento normativo y la protección de los datos sensibles requieren una gestión proactiva del ciclo de vida de los parches y una conciencia renovada sobre los riesgos emergentes en el entorno iOS.

(Fuente: www.bleepingcomputer.com)