وكالة CISA تفرض تحديثات عاجلة لثلاث ثغرات في نظام iOS تستغلها حزمة Coruna

دفع اكتشاف ثغرات iOS الحرجة والمستغلة بنشاط وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إلى إصدار تفويض عاجل لتطبيق التحديثات الأمنية. يجب على الوكالات الفيدرالية والمؤسسات الخاصة معالجة ثلاث ثغرات محددة فوراً، والتي يتم استغلالها عبر حزمة اختراق متطورة تُعرف باسم Coruna.

يُعد هذا التحذير بالغ الأهمية لمسؤولي تكنولوجيا المعلومات، وفرق الأمن الفيدرالية، ومستخدمي هواتف آيفون الذين يعتمدون على إصدارات برمجية قديمة. من خلال فهم نطاق هذه الهجمات، يمكن للمستخدمين اتخاذ إجراءات فورية، وتحديداً التحديث إلى ما بعد إصدار نظام التشغيل iOS 17.2.1 أو تفعيل وضع القفل (Lockdown Mode) التابع لشركة Apple، لحماية أجهزتهم من الهجمات السيبرانية المدعومة من الدول وتلك المدفوعة بدوافع مالية.

يسلط انتشار حزمة Coruna الضوء على اتجاه متزايد وخطير يتمثل في ازدهار سوق ثغرات اليوم الصفر (Zero-day) المستعملة. مع انتقال تقنيات الاستغلال المتقدمة من بائعي برامج المراقبة إلى جهات تهديد متنوعة، تستمر نافذة الوقت المتاحة لتصحيح الثغرات المعروفة في التقلص، مما يترك المؤسسات التي تؤخر التحديثات عرضة لخطر كبير.

تم تفصيل حملات الاختراق يوم الخميس في تقرير نشرته شركة Google. ووفقاً للباحثين، جمعت حزمة Coruna نحو 23 ثغرة منفصلة في نظام التشغيل iOS، وتم تنظيمها في خمس سلاسل استغلال قوية. تستهدف الحزمة طرازات مختلفة من هواتف آيفون التي تعمل بإصدارات نظام التشغيل iOS من الإصدار 13.0 وحتى الإصدار 17.2.1. الأجهزة التي تعمل بإصدارات أحدث من 17.2.1 ليست عرضة للخطر، كما تفشل عمليات الاستغلال في التنفيذ إذا تم تفعيل وضع القفل (Lockdown Mode) أو إذا تم ضبط المتصفح على وضع التصفح الخاص.

تتميز حزمة Coruna بقدرات متقدمة، بما في ذلك إطار عمل JavaScript لم يسبق له مثيل يستخدم طريقة تعمية (Obfuscation) فريدة لمنع الاكتشاف والهندسة العكسية. عند التفعيل، يقوم إطار العمل بتشغيل وحدة بصمة لجمع معلومات محددة عن الجهاز. وبناءً على تلك النتائج، يقوم بتحميل استغلال WebKit المناسب، يليه تجاوز لآلية دفاع تُعرف باسم مصادقة المؤشر (Pointer Authentication Code).

أشار باحثو شركة Google إلى أن الحزمة تم استخدامها من قبل ثلاث مجموعات اختراق متميزة على مدار 10 أشهر. تم اكتشافها لأول مرة في شهر فبراير من العام الماضي في عملية قام بها عميل لشركة بيع برامج مراقبة، حيث استغل ثغرة تحمل الرمز CVE-2025-23222 والتي تم تصحيحها قبل 13 شهراً. وفي وقت لاحق، استخدمتها مجموعة تجسس روسية مشتبه بها في شهر يوليو من عام 2025 ضد أهداف أوكرانية، بينما نشرتها جهة تهديد ذات دوافع مالية من الصين في شهر ديسمبر الماضي.

استجابة لهذا التهديد، أضافت وكالة CISA ثلاث ثغرات محددة من حزمة Coruna إلى كتالوجها الخاص بالثغرات المستغلة المعروفة. ووجهت الوكالة الكيانات الفيدرالية بتطبيق إجراءات التخفيف وفقاً لتعليمات الشركة المصنعة أو التوقف عن استخدام المنتج إذا لم تتوفر تلك الإجراءات.

الثغرات الثلاث المحددة التي تمت إضافتها إلى كتالوج وكالة CISA هي:

• الثغرة CVE-2021-30952: ثغرة الطفح الرقمي الصحيح (Integer Overflow) في منتجات متعددة من شركة Apple.
• الثغرة CVE-2023-41974: ثغرة الاستخدام بعد التحرير (Use-After-Free) في نظامي التشغيل iOS و iPadOS.
• الثغرة CVE-2023-43000: ثغرة الاستخدام بعد التحرير (Use-After-Free) في منتجات متعددة من شركة Apple.

ما هي إصدارات نظام iOS المتأثرة بحزمة الاختراق Coruna؟
الحزمة قادرة على استهداف طرازات آيفون التي تعمل بنظام التشغيل iOS من الإصدار 13.0 (الصادر في شهر سبتمبر 2019) وحتى الإصدار 17.2.1 (الصادر في شهر ديسمبر 2023).

كيف يمكن للمستخدمين حماية أجهزتهم من هذه الثغرات؟
يؤدي التحديث إلى أي إصدار من نظام التشغيل iOS يتجاوز الإصدار 17.2.1 إلى تحييد التهديد. بالإضافة إلى ذلك، لا تعمل عمليات الاستغلال عند تفعيل وضع القفل (Lockdown Mode) التابع لشركة Apple أو عند ضبط المتصفح على وضع التصفح الخاص.

تقدم دورة حياة حزمة الاختراق Coruna تحذيراً صارخاً حول تحول الأسلحة السيبرانية إلى سلع متداولة. إن حقيقة انتقال حزمة استغلال واحدة من عميل لشركة مراقبة إلى مجموعة تجسس روسية مشتبه بها، وأخيراً إلى جهة تهديد مالي صينية، تثبت أن السوق "المستعملة" لثغرات اليوم الصفر (Zero-day) تعمل بكفاءة عالية. علاوة على ذلك، فإن ملاحظة شركة Google بأن الثغرة CVE-2025-23222 تم استغلالها بعد 13 شهراً من تصحيحها تسلط الضوء على فشل منهجي في إدارة التحديثات داخل المؤسسات. لم يعد بإمكان المؤسسات تحمل تأخير تحديثات نظام التشغيل الروتينية؛ فالفجوة الزمنية بين إصدار التصحيح وتحويله إلى سلاح من قبل جهات التهديد الثانوية تتقلص بسرعة كبيرة.