La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha añadido a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) un total de ocho nuevas vulnerabilidades. Estas vulnerabilidades, que evidencian una explotación activa, incluyen seis que impactan a los smartphones de Samsung y dos que afectan a los dispositivos de D-Link. Es importante mencionar que todas estas vulnerabilidades han sido corregidas desde 2021. A continuación se detalla cada una:
- CVE-2021-25394 (puntuación CVSS: 6.4): Vulnerabilidad de condición de carrera en dispositivos móviles Samsung.
- CVE-2021-25395 (puntuación CVSS: 6.4): Fallo similar de condición de carrera en dispositivos móviles Samsung.
- CVE-2021-25371 (puntuación CVSS: 6.7): Vulnerabilidad no especificada en el controlador DSP utilizado en dispositivos móviles Samsung, que permite la carga de bibliotecas ELF arbitrarias.
- CVE-2021-25372 (puntuación CVSS: 6.7): Dispositivos móviles Samsung con control de límites incorrecto dentro del controlador DSP.
- CVE-2021-25487 (puntuación CVSS: 7.8): Vulnerabilidad de lectura fuera de límites en dispositivos móviles Samsung, lo que conduce a la ejecución de código arbitrario.
- CVE-2021-25489 (puntuación CVSS: 5.5): Dispositivos móviles Samsung con vulnerabilidad de validación de entrada incorrecta que resulta en un error del kernel.
- CVE-2019-17621 (puntuación CVSS: 9.8): Vulnerabilidad de ejecución de código remoto no autenticado en el router D-Link DIR-859.
- CVE-2019-20500 (puntuación CVSS: 7.8): Vulnerabilidad de inyección de comandos de OS autenticada en D-Link DWL-2600AP.
El reporte de la Unidad 42 de Palo Alto Networks del mes pasado, donde se informó sobre los actores de amenazas asociados con una variante de la botnet Mirai explotando fallos en diversos dispositivos IoT para propagar malware, condujo a la inclusión de las dos vulnerabilidades de D-Link. Sin embargo, no está completamente claro cómo se han explotado las fallas en los dispositivos de Samsung.
Es probable que un proveedor comercial de spyware haya utilizado estas vulnerabilidades en ataques precisos, considerando la naturaleza de los blancos seleccionados. Resulta relevante recordar que el Google Project Zero identificó un grupo de vulnerabilidades en noviembre de 2022, alegando que se utilizaron en una cadena de explotación enfocada en los teléfonos Samsung.
Debido a esta explotación activa, las agencias de la Rama Ejecutiva Civil Federal (FCEB) están obligadas a aplicar las correcciones pertinentes antes del 20 de julio de 2023, con el fin de salvaguardar sus redes contra posibles amenazas.