Američka agencija za kibernetičku bezbjednost i sigurnost infrastrukture (CISA) postavila je set od osam nedostataka u katalog poznatih eksploatisanih ranjivosti (KEV), na osnovu dokaza o aktivnoj eksploataciji.
Ovo uključuje šest nedostataka koji utiču na Samsung pametne telefone i dve ranjivosti koje utiču na D-Link uređaje. Svi nedostaci su zakrpljeni od 2021. godine:
- CVE-2021-25394 (CVSS rezultat: 6,4) – ranjivost na race uslovima mobilnih uređaja Samsung
- CVE-2021-25395 (CVSS rezultat: 6,4) – ranjivost na race uslovima mobilnih uređaja Samsung
- CVE-2021-25371 (CVSS rezultat: 6,7) – Nespecifikovana ranjivost u DSP drajveru koji se koristi na Samsung mobilnim uređajima koji omogućava učitavanje proizvoljnih ELF biblioteka
- CVE-2021-25372 (CVSS rezultat: 6,7) – Neispravna provjera granica unutar DSP drajvera u Samsung mobilnim uređajima
- CVE-2021-25487 (CVSS rezultat: 7,8) – Samsung mobilni uređaji van granica čitaju ranjivost koja dovodi do proizvoljnog izvršavanja koda
- CVE-2021-25489 (CVSS rezultat: 5,5) – Samsung mobilni uređaji neispravna ranjivost provjere unosa što dovodi do panike kernela
- CVE-2019-17621 (CVSS rezultat: 9,8) – Ranjivost neautorizovanog daljinskog izvršavanja koda u D-Link DIR-859 ruteru
- CVE-2019-20500 (CVSS rezultat: 7,8) – Provjerena ranjivost ubrizgavanja OS komandi u D-Link DWL-2600AP
Dodavanje dvije D-Link ranjivosti uslijedilo je nakon izvještaja Palo Alto Networks Unit 42 prošlog mjeseca o hakerima povezanim s varijantom Mirai botneta koji koriste nedostatke u nekoliko IoT uređaja za širenje malicioznog softvera u nizu napada koji počinju u martu 2023. godine.
Međutim, nije odmah jasno kako se nedostaci u Samsung uređajima iskorištavaju u praksi. Ali s obzirom na prirodu ciljanja, vjerovatno je da ih je komercijalni prodavač špijunskog softvera koristio u visoko ciljanim napadima.
Vrijedi napomenuti da je Google Project Zero u novembru 2022. godine otkrio niz nedostataka za koje je rekao da su naoružani kao dio lanca eksploatacije usmjerenog na Samsung telefone.
U svjetlu aktivne eksploatacije, od agencija Federalne civilne izvršne vlasti (FCEB) se traži da do 20. jula 2023. godine primjene potrebne popravke kako bi osigurale svoje mreže od potencijalnih pretnji.
Izvor: The Hacker News