Google encuentra 18 vulnerabilidades de día cero en los chipsets Samsung Exynos

Project Zero, el equipo de búsqueda de errores de día cero de Google, descubrió e informó 18 vulnerabilidades de día cero en los conjuntos de chips Exynos de Samsung utilizados en dispositivos móviles, dispositivos portátiles y automóviles.

Las fallas de seguridad del módem Exynos se informaron entre finales de 2022 y principios de 2023. Cuatro de los dieciocho días cero fueron identificados como los más serios, permitiendo la ejecución remota de código desde Internet a la banda base.

Estos errores de ejecución remota de código (RCE) de Internet a banda base (incluidos CVE-2023-24033 y otros tres que aún esperan un CVE-ID) permiten a los atacantes comprometer dispositivos vulnerables de forma remota y sin ninguna interacción del usuario.

"El software de banda base no verifica adecuadamente los tipos de formato del atributo de tipo de aceptación especificado por el SDP, lo que puede conducir a una denegación de servicio o ejecución de código en el módem de banda base de Samsung", dice Samsung en un aviso de seguridad que describe la vulnerabilidad CVE-2023-24033.

La única información requerida para que los ataques se lleven a cabo es el número de teléfono de la víctima, según Tim Willis, jefe de Project Zero.

Para empeorar las cosas, con una investigación adicional mínima, los atacantes experimentados podrían crear fácilmente un exploit capaz de comprometer de forma remota los dispositivos vulnerables sin llamar la atención de los objetivos.

"Debido a una combinación muy rara de nivel de acceso que proporcionan estas vulnerabilidades y la velocidad con la que creemos que se podría elaborar un exploit operativo confiable, hemos decidido hacer una excepción de política para retrasar la divulgación de las cuatro vulnerabilidades que permiten la ejecución remota de código de Internet a banda base", dijo Willis.

Las 14 fallas restantes (incluidas CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 y otras nueve en espera de CVE-ID) no son tan críticas, pero aún representan un riesgo. La explotación exitosa requiere acceso local o un operador de red móvil malicioso.

Según la lista de chipsets afectados proporcionada por Samsung, la lista de dispositivos afectados incluye, entre otros:

• Dispositivos móviles de Samsung, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04;
• Dispositivos móviles de Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30;
• Las series de dispositivos Pixel 6 y Pixel 7 de Google;
• cualquier wearable que utilice el chipset Exynos W920; y
• cualquier vehículo que utilice el chipset Exynos Auto T5123.

Solución disponible para los dispositivos afectados

Si bien Samsung ya ha proporcionado actualizaciones de seguridad que abordan estas vulnerabilidades en los chipsets afectados a otros proveedores, los parches no son públicos y no pueden ser aplicados por todos los usuarios afectados.

La línea de tiempo de parches de cada fabricante para sus dispositivos será diferente, pero, por ejemplo, Google ya ha abordado CVE-2023-24033 para los dispositivos Pixel afectados en sus actualizaciones de seguridad de marzo de 2023.


Sin embargo, hasta que los parches estén disponibles, los usuarios pueden frustrar los intentos de explotación de RCE de banda base dirigidos a los chipsets Exynos de Samsung en su dispositivo deshabilitando las llamadas Wi-Fi y Voice-over-LTE (VoLTE) para eliminar el vector de ataque.

Samsung también confirmó la solución de Project Zero, diciendo que "los usuarios pueden deshabilitar las llamadas WiFi y VoLTE para mitigar el impacto de esta vulnerabilidad".

"Como siempre, alentamos a los usuarios finales a actualizar sus dispositivos lo antes posible, para asegurarse de que están ejecutando las últimas compilaciones que corrigen las vulnerabilidades de seguridad divulgadas y no reveladas", agregó Willis.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta