CVE-2023-20963 Udnyttet af kinesisk e-handelsapp Pinduoduo

CVE-2023-20963 er en meget alvorlig Android-sårbarhed, der bruges som en zero-day angreb.

Hvad er CVE-2023-20963, og hvorfor er det farligt?

Det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed (CISA) udgav for nylig en advarsel med høj alvorlighed i forhold til en Android-sårbarhed, der menes at være blevet udnyttet af den kinesiske e-handelsapp Pinduoduo som et nul-dages angreb. Denne Android Framework sikkerhedsfejl, spores som CVE-2023-20963, gør det muligt for angribere at opnå forbedrede privilegier på ikke-patchede Android-enheder uden at kræve brugerinteraktion.

Ifølge dens officiel beskrivelse, CVE-2023-20963 er placeret i WorkSource, hvor der er en mulig pakkemismatch. Dette kan føre til lokal eskalering af privilegier uden behov for yderligere eksekveringsprivilegier. Fejlen kan udnyttes uden brugerinteraktion. Berørte versioner inkluderer Android 11, Android 12, Android 12L, og Android 13.

Google svarede ved at udsende sikkerhedsopdateringer i marts, bemærker, at CVE-2023-20963 kan være under begrænset, målrettet udnyttelse. Efterfølgende, på grund af tilstedeværelsen af malware i nogle ikke-Google Play-versioner af Pinduoduo, appen blev suspenderet af Google og senere undersøgt af Kaspersky-forskere. De opdagede, at den ondsindede kode udnyttede Android-sårbarheder, inklusive CVE-2023-20963, for at få adgang til brugerne’ data og enhed. Igor Golovin, sikkerhedsforsker for Kaspersky, rapporterede, at nogle versioner af Pinduoduo-appen indeholdt ondsindet kode, som ville eskalere privilegier, Download, og eksekvere ondsindede moduler, der havde adgang til brugere’ meddelelser og filer.

US. Federal Civilian Executive Branch-agenturer står over for en stram deadline fastsat af CISA's BOD 22-01 (Bindende operationelle direktiv), som beordrer dem til at løse CVE-2023-20963-sårbarheden, der blev tilføjet til CISA's liste over kendte udnyttede sårbarheder torsdag, 4. maj. Alle fejl inkluderet i KEV skal identificeres og afhjælpes.