Lỗ hổng trên smartphone Samsung bị khai thác

Người dùng smartphone Samsung smartphone đã được nhà cung cấp và Cơ quan an ninh quốc gia Mỹ (CISA) cảnh báo về một lỗ hổng được vá gần đây đang bị khai thác trong các cuộc tấn công.

Lỗ hổng có số hiệu là CVE-2023-21492, được mô tả là sự cố lộ lọt con trỏ kernel liên quan đến các tệp nhật ký. Lỗ hổng có thể cho phép kẻ tấn công nội bộ có đặc quyền bỏ qua kỹ thuật giảm thiểu khai thác ASLR. Điều này cho thấy, có khả năng nó đã được móc nối với các lỗ hổng khác.

Samsung đã vá CVE-2023-21492 bằng các bản cập nhật bảo mật tháng 5/2023 và cho biết họ đã phát hiện lỗ hổng này vào giữa tháng 1. Lỗ hổng ảnh hưởng tới một số thiết bị Android 11, 12 và 13.

CISA đã thêm lỗ hổng này vào danh mục những lỗ hổng bị khai thác đã biết (KEV) và hướng dẫn các cơ quan chính phủ vá trước ngày 9/6.

Lỗ hổng do nhóm phân tích mối đe dọa của Google phát hiện, cho thấy có thể nó đã bị một nhà cung cấp phần mềm gián điệp thương mại khai thác. Google đã lưu ý trong cơ sở dữ liệu khai thác zero-day của mình rằng CVE-2023-21492 đã được phát hiện vào năm 2021.

Những báo cáo do Google công bố trong những tháng gần đây mô tả các chiến dịch trong đó các tác nhân đe dọa được liên kết với các nhà cung cấp phần mềm gián điệp đã cố gắng tấn công smartphone Samsung thông qua các lỗ hổng zero-day và n-day khác nhau.

Tháng 12/2022, một chiến dịch như vậy đã được phát hiện, trong đó những kẻ tấn công đã cố gắng phát tán phần mềm gián điệp Android cho người dùng ở các Tiểu vương quốc Ả Rập thống nhất (UAE) thông qua trình duyệt Internet của Samsung. Các cuộc tấn được cho là liên quan tới Variston, một nhà cung cấp phần mềm gián điệp thương mại của Tây Ban Nha.

Google cũng đã tiết lộ chi tiết về một số lỗ hổng trên điện thoại Samsung với số nhận dạng CVE 2021 đã bị một nhà cung cấp phần mềm gián điệp khai thác khi chúng vẫn ở trạng thái zero-day. Công ty đã biết về 9 lỗ hổng của Samsung được phát hiện vào năm 2021 đã bị khai thác trong các cuộc tấn công.

CISA cũng đã thêm hai lỗ hổng Cisco IOS vào danh mục KEV của mình. Một trong số đó là CVE-2016-6415, được phát hiện vào năm 2016 do rò rỉ Shadow Brokers. Thứ hai là một lỗ hổng DoS rất cũ có số hiệu là CVE-2004-1464 đã được Cisco cảnh báo về việc khai thác vào năm 2004 khi phát hành các bản vá lỗi./.