(https://i.postimg.cc/HsxJ4DC7/CISA.png) (https://postimages.org/)
CISA ordenó hoy a las agencias federales estadounidenses que corrijan una vulnerabilidad crítica de Samsung que ha sido explotada en ataques de día cero para desplegar el software espía LandFall en dispositivos con WhatsApp.
Identificada como CVE-2025-21042, esta vulnerabilidad de escritura fuera de límites se descubrió en la biblioteca libimagecodec.quram.so de Samsung, lo que permitía a atacantes remotos ejecutar código en dispositivos con Android 13 y versiones posteriores.
Si bien Samsung la corrigió en abril tras un informe de Meta y los equipos de seguridad de WhatsApp, la Unidad 42 de Palo Alto Networks reveló la semana pasada que los atacantes la habían estado explotando desde al menos julio de 2024 para desplegar el software espía LandFall, hasta entonces desconocido, mediante imágenes DNG maliciosas enviadas a través de WhatsApp.
El software espía es capaz de acceder al historial de navegación de la víctima, grabar llamadas y audio, rastrear su ubicación y acceder a fotos, contactos, SMS, registros de llamadas y archivos.
Según el análisis de Unit 42, ataca una amplia gama de modelos insignia de Samsung, incluyendo los dispositivos de las series Galaxy S22, S23 y S24, así como el Z Fold 4 y el Z Flip 4.
Los datos de las muestras de VirusTotal examinadas por los investigadores de Unit 42 muestran posibles objetivos en Irak, Irán, Turquía y Marruecos, mientras que la infraestructura del dominio C2 y los patrones de registro presentan similitudes con los observados en las operaciones de Stealth Falcon, originadas en los Emiratos Árabes Unidos.
Otra pista es el uso del nombre "Bridge Head" para el componente de carga del malware, una convención de nombres común en el software espía comercial desarrollado por NSO Group, Variston, Cytrox y Quadream. Sin embargo, no se pudo vincular con certeza LandFall a ningún proveedor de software espía o grupo de amenazas conocido.
Cronología de la explotación de CVE-2025-21042 (Unidad 42)
(https://www.bleepstatic.com/images/news/u/1220909/2025/November/dmg.jpg)
CISA ha añadido la vulnerabilidad CVE-2025-21042 a su catálogo de Vulnerabilidades Explotadas Conocidas, que enumera los fallos de seguridad señalados como explotados activamente en ataques.
CISA ordena a las agencias del Poder Ejecutivo Civil Federal (FCEB) que protejan sus dispositivos Samsung contra los ataques en curso en un plazo de tres semanas, hasta el 1 de diciembre, según lo estipulado en la Directiva Operativa Vinculante (BOD) 22-01.
Las agencias FCEB son organismos no militares del Poder Ejecutivo de EE. UU., entre los que se incluyen el Departamento de Energía, el Departamento del Tesoro, el Departamento de Seguridad Nacional y el Departamento de Salud y Servicios Humanos.
Si bien esta directiva operativa vinculante solo se aplica a las agencias federales, CISA insta a todas las organizaciones a priorizar la corrección de esta vulnerabilidad lo antes posible.
«Este tipo de vulnerabilidad es un vector de ataque frecuente para los ciberdelincuentes y supone riesgos significativos para la administración pública federal», advirtió.
«Aplique las medidas de mitigación según las instrucciones del proveedor, siga las directrices de la directiva BOD 22-01 para servicios en la nube o suspenda el uso del producto si no hay medidas de mitigación disponibles», añadió la agencia de ciberseguridad.
En septiembre, Samsung publicó actualizaciones de seguridad para corregir otra vulnerabilidad en libimagecodec.quram.so ( CVE-2025-21043 ) que se explotó en ataques de día cero dirigidos a sus dispositivos Android.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-samsung-zero-day-used-in-spyware-attacks/