ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bugün bir Çin e-ticaret uygulaması Pinduoduo tarafından kullanıcılarını gözetlemek için sıfır gün olarak kullanıldığına inanılan yüksek önem dereceli bir Android güvenlik açığı konusunda uyarıda bulundu.
Bu Android Framework güvenlik açığı (CVE-2023-20963 olarak izlenir), saldırganların kullanıcı etkileşimi gerektirmeden yama uygulanmamış Android cihazlarda ayrıcalıkları artırmasına olanak tanır.
CISA, “Android Framework, bir uygulamayı daha yüksek bir Hedef SDK’ye güncelledikten sonra ek yürütme ayrıcalıkları gerekmeden ayrıcalık yükseltmeye izin veren, belirtilmemiş bir güvenlik açığı içeriyor” diye açıklıyor.
Google, Mart ayı başlarında yayınlanan güvenlik güncellemelerindeki hatayı ele alarak “CVE-2023-20963’ün sınırlı, hedefli istismar altında olabileceğine dair göstergeler var” dedi.
21 Mart’ta Google, Çinli çevrimiçi perakendeci devi Pinduoduo’nun (aylık 750 milyonun üzerinde aktif kullanıcıya sahip olduğunu iddia eden) resmi alışveriş uygulamasını, uygulamanın Play Store dışı sürümlerinde zararlı bir uygulama olarak etiketleyerek kötü amaçlı yazılım keşfettikten sonra Play Store’dan askıya aldı. ve kullanıcıları, verilerine veya cihazlarına “yetkisiz erişime” izin verebileceği konusunda uyarmak.
Günler sonra Kaspersky araştırmacıları ayrıca, uygulamanın Android güvenlik açıklarından (Ars Technica’ya göre bunlardan biri CVE-2023-20963) yararlanan sürümlerini ayrıcalık yükseltme ve kullanıcıları gözetlemek için tasarlanmış ek modüller yükleme amacıyla bulduklarını açıkladılar.
Kaspersky güvenlik araştırmacısı Igor Golovin, Bloomberg’e verdiği demeçte, “Pinduoduo uygulamasının bazı sürümleri, ayrıcalıkları artırmak, ek kötü amaçlı modüller indirmek ve yürütmek için bilinen Android güvenlik açıklarından yararlanan kötü amaçlı kod içeriyordu, bunlardan bazıları ayrıca kullanıcıların bildirimlerine ve dosyalarına erişim sağladı.”
Federal kurumlara üç hafta içinde yama yapma talimatı verildi
ABD Federal Sivil Yürütme Organları (FCEB) kurumlarının, cihazlarını CISA tarafından Perşembe günü Bilinen İstismar Edilen Güvenlik Açıkları listesine eklenen CVE-2023-20963 güvenlik açığına karşı güvence altına almak için 4 Mayıs’a kadar süreleri var.
Kasım 2021 tarihli bağlayıcı operasyonel yönergeye (BOD 22-01) göre, federal kurumlar ağlarını CISA’nın KEV kataloğunda yer alan tüm güvenlik açıklarına karşı kontrol etmeli ve düzeltmelidir.
Katalog esas olarak ABD federal kurumlarına yönelik olsa bile, özel şirketlerin de CISA kataloğundaki güvenlik açıklarını öncelikli olarak ele almaları şiddetle tavsiye edilir.
ABD siber güvenlik ajansı, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur.” Dedi.
Pazartesi günü, CISA ayrıca federal kurumlara iPhone ve Mac’leri sıfır gün olarak 1 Mayıs’a kadar sıfır gün olarak istismar edilen iki güvenlik açığına karşı yamalama emri verdi.