La CISA (Cybersecurity and Infrastructure Security Agency) ha diramato un bollettino di sicurezza con il quale avverte dello sfruttamento attivo di un difetto che interessa i dispositivi Samsung e che consente di aggirare la protezione ASLR (Address Space Layout Randomization) di Android.
ASLR è una tecnica di sicurezza che randomizza gli indirizzi di memoria per oscurare la posizione di un eseguibile nella memoria di un dispositivo, contrastando il successo di relativi exploit.
La vulnerabilità
La vulnerabilità (CVE-2023-21492) di media gravità interessa i dispositivi mobili Samsung con Android 11, 12 e 13 ed è dovuto all’inserimento di informazioni sensibili nei file di registro che potrebbero essere utilizzate da attaccanti locali con privilegi elevati per condurre appunto un bypass ASLR grazie allo sfruttamento dei problemi di gestione di memoria.
Samsung non ha fornito dettagli sullo sfruttamento di CVE-2023-21492.
Esortazione del CISA
Dato l’abuso attivo, CISA ha aggiunto il difetto al catalogo di vulnerabilità sfruttate note (KEV), insieme a due difetti di Cisco IOS (CVE-2004-1464 e CVE-2016-6415), esortando le agenzie del ramo esecutivo civile federale (FCEB) a applicare le patch secondo la direttiva operativa vincolante (BOD 22-01).
Poiché vulnerabilità di sicurezza come questa vengono spesso sfruttate in attacchi altamente mirati e già in passato difetti nei telefoni Samsung sono stati usati in attacchi spyware per distribuire codice malevolo, l’attenzione deve rimanere alta e l’allarme estendersi a tutte le organizzazioni.
“Sebbene BOD 22-01 si applichi solo alle agenzie FCEB, CISA esorta vivamente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici, dando la priorità alla correzione tempestiva delle vulnerabilità del catalogo come parte della loro pratica di gestione delle vulnerabilità”, si legge nel bollettino CISA.