Seis vulnerabilidades explotadas afectan a los smartphones Samsung
Seis vulnerabilidades que afectan a los dispositivos móviles de Samsung se han añadido al Catálogo de Vulnerabilidades Explotadas Conocidas de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos. Samsung solucionó todas las vulnerabilidades en 2021, aunque lo más probable es que fueran explotadas por un proveedor comercial de programas espía.
Las vulnerabilidades incluyen; CVE-2021-25487, una lectura fuera de los límites en el controlador de interfaz del módem que puede conducir a la ejecución de código arbitrario. La advertencia de la base de datos nacional de vulnerabilidades (NVD) de CISA la califica de "gravedad alta" según la puntuación CVSS, pero Samsung la clasifica como de gravedad "moderada". CVE-2021-25489 es otra vulnerabilidad descrita, un defecto de cadena de formato de baja gravedad en el controlador de interfaz del módem que puede dar lugar a un evento de denegación de servicio (DoS).
Otros incluyen, CVE-2021-25394 y CVE-2021-25395, errores de uso después de la liberación de gravedad moderada en el controlador del cargador MFC. Samsung los corrigió en mayo de 2021. Las dos vulnerabilidades restantes, CVE-2021-25371 y CVE-2021-25372, ambas de gravedad moderada, afectan al controlador DSP e implican la carga de archivos ELF arbitrarios y el acceso fuera de los límites, respectivamente. Samsung parcheó estas vulnerabilidades en marzo de 2021.
No hay informes públicos de que las vulnerabilidades hayan sido explotadas, pero es probable que un proveedor comercial de programas espía ya se haya aprovechado de ellas, y Google respalda esta afirmación de que tiene pruebas de que las vulnerabilidades han sido explotadas por un proveedor comercial de programas espía.
Google citó un tuit de Maddie Stone, investigadora de Google Project Zero, quien confirmó que todas las vulnerabilidades de Samsung se identificaron como parte del mismo estudio y se incluyeron en el rastreador de explotaciones de día cero de Google para 2021. Anteriormente, Google había revelado información sobre tres vulnerabilidades comparables de teléfonos Samsung con CVE de 2021 que fueron explotadas contra dispositivos Android por un vendedor de spyware desconocido, aunque seguían considerándose vulnerabilidades de día cero. Estos tres fallos se solucionaron en marzo de 2021.
No es la primera vez que los vendedores de malware tienen como objetivo los teléfonos móviles Samsung. Google publicó los detalles de tres vulnerabilidades relacionadas de teléfonos Samsung con 2021 CVE que han sido explotadas por un vendedor de spyware desconocido en noviembre de 2022.
Las fuentes de este artículo incluyen un artículo en SecurityWeek.