La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a mis un ensemble de huit failles aux Vulnérabilités Exploitées Connues (KEV), sur la base de preuves d’exploitation active.
Cela comprend six lacunes affectant les smartphones Samsung et deux vulnérabilités affectant les appareils D-Link. Toutes les failles ont été corrigées à partir de 2021.
- CVE-2021-25394 (Score CVSS : 6,4) – Vulnérabilité des conditions de concurrence des appareils mobiles Samsung
- CVE-2021-25395 (Score CVSS : 6,4) – Vulnérabilité des conditions de concurrence des appareils mobiles Samsung
- CVE-2021-25371 (Score CVSS : 6,7) – Une vulnérabilité non spécifiée dans le pilote DSP utilisé dans les appareils mobiles Samsung qui permet le chargement de bibliothèques ELF arbitraires
- CVE-2021-25372 (Score CVSS : 6,7) – Vérification incorrecte des limites des appareils mobiles Samsung dans le pilote DSP des appareils mobiles Samsung
- CVE-2021-25487 (Score CVSS : 7,8) – Vulnérabilité de lecture hors limites des appareils mobiles Samsung entraînant l’exécution de code arbitraire
- CVE-2021-25489 (Score CVSS : 5,5) – Vulnérabilité de validation d’entrée incorrecte des appareils mobiles Samsung entraînant une panique du noyau
- CVE-2019-17621 (Score CVSS : 9,8) – Une vulnérabilité d’exécution de code à distance non authentifiée dans le routeur D-Link DIR-859
- CVE-2019-20500 (Score CVSS : 7,8) – Une vulnérabilité d’injection de commande de système d’exploitation authentifiée dans D-Link DWL-2600AP
L’ajout des deux vulnérabilités D-Link fait suite à un rapport de l’unité 42 de Palo Alto Networks le mois dernier sur les acteurs de la menace associés à une variante du botnet Mirai tirer parti failles dans plusieurs appareils IoT pour propager le malware dans une série d’attaques à partir de mars 2023.
Cependant, on ne sait pas immédiatement comment les failles des appareils Samsung sont exploitées dans la nature. Mais étant donné la nature du ciblage, il est probable qu’ils aient été utilisés par un fournisseur de logiciels espions commerciaux dans des attaques très ciblées.
Il convient de noter que Google Project Zero a révélé un ensemble de failles en novembre 2022 qui, selon lui, étaient armé dans le cadre d’une chaîne d’exploitation visant les combinés Samsung.
À la lumière de l’exploitation active, les agences du pouvoir exécutif civil fédéral (FCEB) sont tenues d’appliquer les correctifs nécessaires d’ici le 20 juillet 2023 pour sécuriser leurs réseaux contre les menaces potentielles.