A Project Zero, a Google hibavadász csapata 18 nulladik napi sebezhetőséget fedezett fel és jelentett a Samsung mobileszközökben, hordozható eszközökben és autókban használt Exynos chipsetjeiben. Az Exynos modemek biztonsági hibáit 2022 vége és 2023 eleje között jelentették. A tizennyolc sérülékenység közül négyet a legsúlyosabbnak minősítettek, amelyek távoli kódfuttatást tesznek lehetővé. Ezek lehetővé teszik a támadók számára, hogy távolról, felhasználói beavatkozás nélkül kompromittálják a sebezhető eszközöket.
Az alapsávszoftver nem ellenőrzi megfelelően az SDP által megadott accept-type attribútum formátumtípusait, ami szolgáltatásmegtagadáshoz vagy kódfuttatáshoz vezethet a Samsung alapsávmodemben
– írja a Samsung a CVE-2023-24033 sebezhetőséget leíró biztonsági közleményében.
Tim Willis, a Project Zero vezetője szerint a támadások kivitelezéséhez mindössze az áldozat telefonszáma szükséges.
Ami még rosszabbá teszi a helyzetet, hogy a tapasztalt támadók minimális további kutatással könnyen létrehozhatnak egy olyan exploitot, amely képes távolról kompromittálni a sebezhető eszközöket anélkül, hogy a célpontok figyelmét kiváltaná.
A hozzáférés szintjének nagyon ritka kombinációja miatt, amelyet ezek a sebezhetőségek biztosítanak, valamint a sebesség miatt, amellyel véleményünk szerint egy megbízható, működőképes exploitot lehetne készíteni, úgy döntöttünk, hogy irányelvi kivételt teszünk a négy sebezhetőség nyilvánosságra hozatalának késleltetése érdekében, amelyek lehetővé teszik a távoli kódfuttatást
– mondta Willis.
End-users still don’t have patches 90 days after report…. https://t.co/dkA9kuzTso
— Maddie Stone (@maddiestone) March 16, 2023
A fennmaradó 14 hiba (köztük a CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 és kilenc másik, CVE-ID-re váró hiba) nem annyira kritikus, de kockázatot jelentenek. A sikeres kihasználáshoz helyi hozzáférés vagy rosszindulatú mobilhálózat-üzemeltető szükséges.
Az érintett chipkészletek Samsung által rendelkezésre bocsátott listája alapján a következőket tartalmazza, de valószínűleg nem kizárólagosan:
- Samsung mobilkészülékek, beleértve az S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 és A04 sorozatú készülékeket;
- A Vivo mobilkészülékei, beleértve az S16, S15, S6, X70, X60 és X30 sorozatú készülékeket;
- A Google Pixel 6 és Pixel 7 sorozatú készülékei;
- az Exynos W920 lapkakészletet használó viselhető eszközök; és
- az Exynos Auto T5123 lapkakészletet használó járművek.
Bár a Samsung már más gyártók számára is biztosította az érintett chipkészletek ezen sebezhetőségeit javító biztonsági frissítéseket, ezek nem nyilvánosak, és nem minden érintett felhasználó alkalmazhatja őket. Az egyes gyártók javítási ütemterve a készülékeikre vonatkozóan eltérő, de például a Google a márciusi 2023-as biztonsági frissítésekben már kezelte a CVE-2023-24033 hibákat az érintett Pixel készülékek esetében, amíg azonban a javítások nem állnak rendelkezésre, a felhasználók meghiúsíthatják a célzó RCE kihasználási kísérleteket a Wi-Fi hívások és a VoLTE letiltásával.
Mint mindig, most is arra biztatjuk a végfelhasználókat, hogy a lehető leghamarabb frissítsék készülékeiket, hogy biztosítsák, hogy eszközeik a legújabb szoftvereket használják, amelyek kijavítják a nyilvánosságra hozott és a nyilvánosságra nem hozott biztonsági réseket is
– tette hozzá Willis.