Los Estados Unidos. Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una advertencia sobre la explotación activa de una vulnerabilidad de dispositivo Samsung de gravedad media, rastreado como CVE-2023-21492 y puntuación 4.4 en CVSS. El problema afecta a los dispositivos Samsung que ejecutan versiones de Android 11, 12, y 13.
¿Qué es CVE-2023-21492??
La descripción técnica oficial dice que “Los punteros del kernel se imprimen en el archivo de registro antes de SMR May-2023 Release 1” permitiendo así que un atacante local privilegiado eluda ASLR. ASLR es una medida preventiva que ofusca las ubicaciones de la memoria ejecutable contra la corrupción de la memoria y la ejecución de código defectos.
Según Samsung, un atacante con privilegios puede lanzar una explotación sin pasar por la aleatorización del diseño del espacio de direcciones (ASLR) protecciones de seguridad en dichas versiones de Android.
Al parecer,, la vulnerabilidad fue descubierta de forma privada en enero 17, 2023, y explotar porque existió en la naturaleza desde entonces. No hay más detalles sobre su abuso., sin embargo, registros anteriores muestran que se ha distribuido software malicioso a través de dispositivos Samsung en el pasado.
Según la investigación de Google Project Zero, en agosto 2020, se llevó a cabo un ataque MMS remoto de clic cero, ejecución de código exitosa a través de dos vulnerabilidades de sobrescritura de búfer en la biblioteca Quram qmg (SVE-2020-16747 y SVE-2020-17675).
CISA ha agregado la falla a sus Vulnerabilidades Explotadas Conocidas (KEV) Catálogo, junto con dos errores de Cisco IOS (CVE-2004-1464 y CVE-2016-6415), y ordena Poder Ejecutivo Federal Civil (FCEB) agencias para parchearlo antes de junio 9, 2023. La agencia también ha añadido siete fallas más al catálogo de KEV, el más antiguo de los cuales es una vulnerabilidad de Linux de 13 años (CVE-2010-3904) lo que lleva a una escalada de operación no privilegiada.
Los expertos de Google Project Zero confirmaron que la falla de seguridad de Samsung fue descubierta por Clement Lecigne del Grupo de Análisis de Amenazas de Google (ETIQUETA). Esto respalda los indicios de su explotación para una campaña de spyware..