La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado dos vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basado en evidencia de explotación activa.
Los dos defectos se enumeran a continuación:
- CVE-2023-20963 (Puntuación CVSS: 7.8) – Vulnerabilidad de escalada de privilegios del marco de trabajo de Android
- CVE-2023-29492 (Puntuación CVSS: TBD) – Vulnerabilidad de deserialización insegura de la encuesta Novi
«Android Framework contiene una vulnerabilidad no especificada que permite la escalada de privilegios después de actualizar una aplicación a un SDK de Target superior sin necesidad de privilegios de ejecución adicionales», CISA dicho en un aviso para CVE-2023-20963.
Google, en su Boletín de Seguridad Android mensual de marzo de 2023, admitido «Hay indicios de que CVE-2023-20963 puede estar bajo explotación limitada y dirigida».
El desarrollo se presenta como el sitio de noticias tecnológicas Ars Technica. revelado A fines del mes pasado, las aplicaciones de Android firmadas digitalmente por la empresa de comercio electrónico de China, Pinduoduo, usaron la falla como arma para tomar el control de los dispositivos y robar datos confidenciales, citando un análisis de la empresa de seguridad móvil Lookout.
La principal de las capacidades de la aplicación con malware incluye inflar la cantidad de usuarios activos diarios y mensuales de Pinduoduo, desinstalar aplicaciones rivales, acceder a notificaciones e información de ubicación, y evitar que se desinstale.
CNN, en un informe de seguimiento publicado a principios de este mes, dijo que un análisis de la versión 6.49.0 de la aplicación reveló un código diseñado para lograr una escalada de privilegios e incluso rastrear la actividad del usuario en otras aplicaciones de compras.
Los exploits permitieron que la aplicación maliciosa accediera a los contactos, calendarios y álbumes de fotos de los usuarios sin su consentimiento y solicitaron una «gran cantidad de permisos más allá de las funciones normales de una aplicación de compras», dijo el canal de noticias.
Vale la pena señalar que Google suspendido La aplicación oficial de Pinduoduo de Play Store en marzo, citando malware identificado en «versiones fuera de Play» del software.
Domina el arte de la recolección de inteligencia de la Dark Web
Aprenda el arte de extraer inteligencia de amenazas de la web oscura. ¡Únase a este seminario web dirigido por expertos!
Dicho esto, todavía no está claro cómo se firmaron estos archivos APK con la misma clave utilizada para firmar la aplicación legítima de Pinduoduo. Esto apunta a una fuga de clave, el trabajo de un infiltrado deshonesto, un compromiso de la canalización de compilación de Pinduoduo o un intento deliberado de la empresa china de distribuir malware.
La segunda vulnerabilidad agregada al catálogo de KEV se relaciona con una vulnerabilidad de deserialización insegura en el software Novi Survey que permite a atacantes remotos ejecutar código en el servidor en el contexto de la cuenta de servicio.
El problema, que afecta a las versiones de Novi Survey anteriores a la 8.9.43676, fue dirigido por el proveedor con sede en Boston a principios de esta semana el 10 de abril de 2023. Actualmente no se sabe cómo se abusa de la falla en los ataques del mundo real.
Para contrarrestar los riesgos que plantean las vulnerabilidades, se recomienda a las agencias del Poder Ejecutivo Federal Civil (FCEB) en los EE. UU. que apliquen los parches necesarios antes del 4 de mayo de 2023.