A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou meia dúzia de falhas que afetam os smartphones Samsung ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, e todas elas provavelmente foram exploradas por um fornecedor comercial de spyware.
CISA adicionado oito novas vulnerabilidades ao seu catálogo na quinta-feira, incluindo dois roteadores D-Link e vulnerabilidades de ponto de acesso explorado por um botnet Mirai variante. As seis falhas de segurança restantes afetam os dispositivos móveis da Samsung e todas foram corrigidas pela gigante da tecnologia em 2021.
As vulnerabilidades incluem CVE-2021-25487, uma leitura fora dos limites no driver de interface do modem que pode levar à execução de código arbitrário, corrigido em outubro de 2021. A Samsung classificou o bug como ‘moderado’, mas seu NVD consultivo diz que é ‘alta gravidade’ com base na pontuação do CVSS.
A mesma rodada de patches de outubro de 2021 também aborda o CVE-2021-25489, um bug de string de formato de baixa gravidade no driver de interface do modem que pode levar a uma condição DoS.
A CISA também adicionou CVE-2021-25394 e CVE-2021-25395, bugs de uso pós-livre de gravidade moderada no driver do carregador MFC. Ambos foram corrigido pela Samsung em maio de 2021.
Os dois restantes são CVE-2021-25371, um problema de gravidade moderada que pode permitir que um invasor carregue arquivos ELF arbitrários dentro do driver DSP, e CVE-2021-25372, uma vulnerabilidade de acesso fora dos limites de gravidade moderada no mesmo motorista, ambos corrigido em março de 2021.
A Samsung não parece ter atualizado seus avisos antigos para alertar os usuários sobre a exploração das vulnerabilidades.
Não há relatórios públicos descrevendo a exploração das vulnerabilidades do dispositivo móvel Samsung adicionadas à lista de ‘patch obrigatório’ da CISA esta semana. No entanto, eles provavelmente foram explorados por um fornecedor comercial de spyware.
A Samsung e a CISA alertaram recentemente os usuários sobre o CVE-2023-21492, um problema de exposição do ponteiro do kernel relacionado a arquivos de log que pode permitir que um invasor local privilegiado ignore a técnica de mitigação de exploração ASLR.
O Google, cujos pesquisadores descobriram o CVE-2023-21492, observou que a vulnerabilidade é conhecida desde 2021.
Ademais, em novembro de 2022, o Google de três vulnerabilidades de telefone Samsung semelhantes com CVEs 2021 que foram exploradas por um fornecedor de spyware não identificado contra dispositivos Android, inclusive enquanto eles ainda tinham um status de dia zero.
As três vulnerabilidades divulgadas em novembro de 2022 foram corrigidas em março de 2021. Ademais, o Google disse na época que estava ciente de meia dúzia de outras vulnerabilidades da Samsung com identificadores CVE de 2021 que foram exploradas em ataques. Isso reforça a teoria de que as falhas adicionadas pela CISA esta semana ao seu catálogo foram exploradas por fornecedores de spyware cujas atividades foram monitoradas pelo Google.
Cibersegurança Notícias entrou em contato com o Google para confirmação.