CVE-2023-20963 è una vulnerabilità Android molto grave utilizzata come a zero-day attacco.
Che cos'è CVE-2023-20963 e perché è pericoloso?
L'agenzia statunitense per la sicurezza informatica e la sicurezza delle infrastrutture (CISA) ha rilasciato di recente un avviso di gravità elevata relativo a una vulnerabilità di Android che si ritiene sia stata sfruttata dall'app di e-commerce cinese Pinduoduo come attacco zero-day. Questo difetto di sicurezza di Android Framework, tracciato come CVE-2023-20963, consente agli aggressori di ottenere privilegi avanzati sui dispositivi Android senza patch senza richiedere alcuna interazione da parte dell'utente.
Secondo il suo descrizione ufficiale, CVE-2023-20963 si trova in WorkSource, dove c'è una possibile mancata corrispondenza del pacco. Ciò potrebbe portare a un'escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione. Il difetto può essere sfruttato senza l'interazione dell'utente. Le versioni interessate includono Android 11, Androide 12, Android 12L, e Android 13.
Google ha risposto rilasciando aggiornamenti di sicurezza a marzo, notando che il CVE-2023-20963 potrebbe essere limitato, sfruttamento mirato. Successivamente, a causa della presenza di malware in alcune versioni non Google Play di Pinduoduo, l'app è stata sospesa da Google e successivamente indagata dai ricercatori di Kaspersky. Hanno scoperto che il codice dannoso sfruttava le vulnerabilità di Android, compreso il CVE-2023-20963, per ottenere l'accesso agli utenti’ dati e dispositivo. Igor Golovin, un ricercatore di sicurezza per Kaspersky, ha riferito che alcune versioni dell'app Pinduoduo contenevano codice dannoso che avrebbe aumentato i privilegi, scaricare, ed eseguire moduli dannosi che avevano accesso agli utenti’ notifiche e file.
U.S. Le agenzie del ramo esecutivo civile federale stanno affrontando una scadenza ravvicinata fissata dal CdA della CISA 22-01 (Direttiva operativa vincolante), che ordina loro di affrontare la vulnerabilità CVE-2023-20963 che è stata aggiunta giovedì all'elenco delle vulnerabilità sfruttate note della CISA, 4 maggio. Tutti i difetti inclusi nel KEV devono essere identificati e corretti.