Do czasu udostępnienia aktualizacji zabezpieczeń użytkownicy, którzy chcą zabezpieczyć się przed lukami w zabezpieczeniach zdalnego wykonania kodu pasma podstawowego w chipsetach Exynos firmy Samsung, mogą wyłączyć w ustawieniach swoich urządzeń funkcję Wi-Fi calling i Voice-over-LTE (VoLTE). Wyłączenie tych ustawień usunie ryzyko wykorzystania tych podatności.
18 luk
Na przełomie 2022 i 2023 roku Project Zero poinformował o osiemnastu lukach 0-day w modemach Exynos produkowanych przez Samsung Semiconductor. Cztery najpoważniejsze z tych osiemnastu podatności (CVE-2023-24033 i trzy inne podatności, którym jeszcze nie przypisano CVE-ID) pozwalały na zdalne wykonanie kodu w trybie Internet-to-baseband. Testy przeprowadzone przez Project Zero potwierdzają, że te cztery luki pozwalają napastnikowi na zdalne przejęcie kontroli nad telefonem bez interakcji z użytkownikiem i wymagają jedynie znajomości numeru telefonu ofiary. Przy ograniczonych dodatkowych badaniach i rozwoju, wykwalifikowani napastnicy byliby w stanie szybko stworzyć exploit operacyjny, który pozwoliłby na ciche i zdalne zaatakowanie urządzeń.
Czternaście innych powiązanych podatności (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 i dziewięć innych podatności, którym nie przypisano jeszcze identyfikatorów CVE-ID) nie były tak poważne, ponieważ wymagają albo złośliwego operatora sieci komórkowej, albo napastnika z lokalnym dostępem do urządzenia.
Urządzenia, których to dotyczy
Samsung Semiconductor udostępnia listę chipsetów Exynos, w których występują te luki. Na podstawie informacji z publicznych stron internetowych, które mapują chipsety do urządzeń, dotknięte produkty prawdopodobnie obejmują:
- • Urządzenia mobilne firmy Samsung, w tym urządzenia z serii S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 i A04;
• Urządzenia mobilne od Vivo, w tym z serii S16, S15, S6, X70, X60 i X30;
• Seria urządzeń Pixel 6 i Pixel 7 od Google; oraz
• wszelkie pojazdy wykorzystujące chipset Exynos Auto T5123.
Harmonogramy łatek
Prawdopodobnie harmonogramy łatania będą się różnić w zależności od producenta (na przykład dotknięte urządzenia Pixel otrzymały już poprawkę dla CVE-2023-24033 w aktualizacji bezpieczeństwa z marca 2023). W międzyczasie użytkownicy urządzeń dotkniętych tym problemem mogą chronić się przed lukami w zabezpieczeniach zdalnego wykonania kodu, o których mowa w tym poście, wyłączając Wi-Fi calling i Voice-over-LTE (VoLTE) w ustawieniach urządzenia. Użytkownicy końcowi powinni jak najszybciej zaktualizować swoje urządzenia, aby upewnić się, że działają one na najnowszych wersjach, które usuwają zarówno ujawnione, jak i nieujawnione luki bezpieczeństwa.
Cztery luki wstrzymane do ujawnienia
Zgodnie ze standardową polityką ujawniania informacji Project Zero ujawnia publicznie luki w zabezpieczeniach w określonym czasie po zgłoszeniu ich producentowi oprogramowania lub sprzętu. W niektórych rzadkich przypadkach, gdy oceniono, że atakujący skorzystaliby znacznie bardziej niż obrońcy, gdyby luka została ujawniona, zrobiono wyjątek od przyjętej polityki i opóźniono ujawnienie luki.
Powiązane podatności nie są ukrywane
Z pozostałych czternastu błędów, ujawniono cztery (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074 i CVE-2023-26075), które przekroczyły standardowy 90-dniowy termin Projektu Zero. Błędy te zostały publicznie ujawnione w systemie śledzenia błędów, ponieważ nie spełniają wysokich standardów, aby być wstrzymane od ujawnienia. Pozostałe dziesięć błędów w tym zestawie nie przekroczyło jeszcze 90-dniowego terminu i zostaną publicznie ujawnione, jeśli nadal nie zostaną załatane.
Masz ten modem? Chcesz się odpowiednio zabezpieczyć i uniknąć ryzyka ataku? Skontaktuj się z naszymi specjalistami, którzy podpowiedzą, co zrobić w tej sytuacji.