de U.S.. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) heeft een waarschuwing afgegeven met betrekking tot actief misbruik van de middelzware kwetsbaarheid van Samsung-apparaten, gevolgd als CVE-2023-21492 en scoren 4.4 op CVSS. Het probleem is van invloed op Samsung-apparaten met Android-versies 11, 12, en 13.
Wat is CVE-2023-21492?
Dat zegt de officiële technische beschrijving “Kernelwijzers worden afgedrukt in het logbestand voorafgaand aan SMR May-2023 Release 1” waardoor een bevoorrechte lokale aanvaller ASLR kan omzeilen. ASLR is een preventieve maatregel die uitvoerbare geheugenlocaties verdoezelt tegen geheugenbeschadiging en uitvoering van code gebreken.
Volgens Samsung, een aanvaller met privileges kan misbruik maken door de randomisatie van de indeling van de adresruimte te omzeilen (ASLR) beveiligingsmaatregelen in genoemde Android-versies.
Blijkbaar, de kwetsbaarheid werd privé ontdekt in januari 17, 2023, en exploit daarvoor bestond sindsdien in het wild. Er zijn geen verdere details over het misbruik, toch blijkt uit eerdere gegevens dat er in het verleden schadelijke software is verspreid via Samsung-apparaten.
Dat blijkt uit het Google Project Zero-onderzoek, in augustus 2020, er is een externe zero-click mms-aanval uitgevoerd, daaropvolgende code-uitvoering via twee bufferoverschrijfkwetsbaarheden in de Quram qmg-bibliotheek (MBO-2020-16747 en MBO-2020-17675).
CISA heeft de fout toegevoegd aan zijn bekende uitgebuite kwetsbaarheden (KEV) catalogus, naast twee Cisco IOS-bugs (CVE-2004-1464 en CVE-2016-6415), en beveelt de federale civiele uitvoerende macht (FCEB) agentschappen om het vóór juni te patchen 9, 2023. Het bureau heeft ook nog zeven gebreken aan de KEV-catalogus toegevoegd, waarvan de oudste een 13 jaar oude Linux-kwetsbaarheid is (CVE-2010-3904) leidend tot escalatie van onbevoegde operaties.
Google Project Zero-experts hebben bevestigd dat het Samsung-beveiligingslek is ontdekt door Clement Lecigne van de Google Threat Analysis Group (LABEL). Dit ondersteunt de indicaties van het gebruik ervan voor een spywarecampagne.