CISA bugün ABD federal kurumlarına, WhatsApp çalıştıran cihazlara LandFall casus yazılımını dağıtmak için sıfır gün saldırılarında kullanılan kritik bir Samsung güvenlik açığını düzeltme emri verdi.
CVE-2025-21042 olarak takip edilen bu sınır dışı yazma güvenliği açığı, Samsung’un libimagecodec.quram.so kütüphanesinde keşfedildi ve uzak saldırganların Android 13 ve sonraki sürümleri çalıştıran cihazlarda kod yürütme olanağına sahip olmasına olanak tanıdı.
Samsung, Meta ve WhatsApp Güvenlik Ekiplerinden gelen bir raporun ardından Nisan ayında bu yamayı yamarken, Palo Alto Networks’ün Birim 42’si geçen hafta saldırganların WhatsApp üzerinden gönderilen kötü amaçlı DNG görüntüleri aracılığıyla önceden bilinmeyen LandFall casus yazılımını dağıtmak için en az Temmuz 2024’ten bu yana bu yazılımı kullandığını ortaya çıkardı.
Casus yazılım, kurbanın tarama geçmişine erişebilir, çağrıları ve sesleri kaydedebilir, konumlarını izleyebilir, ayrıca fotoğraflara, kişilere, SMS’lere, çağrı kayıtlarına ve dosyalara erişebilir.
Unit 42’nin analizine göre, aralarında Galaxy S22, S23 ve S24 serisi cihazların yanı sıra Z Fold 4 ve Z Flip 4’ün de bulunduğu çok çeşitli Samsung amiral gemisi modellerini hedefliyor.
Birim 42 araştırmacıları tarafından incelenen VirusTotal örneklerinden elde edilen veriler, Irak, İran, Türkiye ve Fas’taki potansiyel hedefleri gösterirken, C2 alan adı altyapısı ve kayıt modelleri, Birleşik Arap Emirlikleri kaynaklı Stealth Falcon operasyonlarında görülenlerle benzerlikler taşıyor.
Diğer bir ipucu da kötü amaçlı yazılım yükleyici bileşeni için NSO Group, Variston, Cytrox ve Quadream tarafından geliştirilen ticari casus yazılımlarda yaygın olarak görülen bir adlandırma kuralı olan “Bridge Head” adının kullanılmasıdır. Ancak LandFall bilinen herhangi bir casus yazılım satıcısına veya tehdit grubuna güvenli bir şekilde bağlanamadı.
CISA, CVE-2025-21042 kusurunu, saldırılarda aktif olarak kullanıldığı işaretlenen güvenlik hatalarını listeleyen Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi ve Federal Sivil Yürütme Şubesi (FCEB) kurumlarına, Bağlayıcı Operasyonel Direktif (BOD) 22-01 uyarınca zorunlu kılındığı üzere, 1 Aralık’a kadar üç hafta içinde Samsung cihazlarını devam eden saldırılara karşı korumalarını emretti.
FCEB kurumları, Enerji Bakanlığı, Hazine Bakanlığı, İç Güvenlik Bakanlığı ve Sağlık ve İnsani Hizmetler Bakanlığı dahil olmak üzere ABD yürütme organındaki askeri olmayan kurumlardır.
Bu bağlayıcı operasyonel direktif yalnızca federal kurumlar için geçerli olsa da, CISA tüm kuruluşlara bu güvenlik açığını mümkün olan en kısa sürede düzeltmeye öncelik vermeleri konusunda çağrıda bulundu.
“Bu tür bir güvenlik açığı, kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli riskler oluşturur” uyarısında bulundu.
Siber güvenlik kurumu, “Satıcı talimatlarına göre azaltımları uygulayın, bulut hizmetleri için geçerli BOD 22-01 kılavuzunu takip edin veya azaltıcı önlemler mevcut değilse ürünü kullanmayı bırakın” diye ekledi.
Eylül ayında Samsung, Android cihazlarını hedef alan sıfır gün saldırılarında kullanılan başka bir libimagecodec.quram.so kusurunu (CVE-2025-21043) düzeltmek için güvenlik güncellemeleri yayınladı.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.