CISA bugün, Android adres alanı düzeni rastgeleleştirme (ASLR) korumasını atlamak için saldırılarda kullanılan Samsung cihazlarını etkileyen bir güvenlik açığı konusunda uyardı.
ASLR, temel uygulama ve işletim sistemi bileşenlerinin cihazın belleğine yüklendiği bellek adreslerini rastgele seçen bir Android güvenlik özelliğidir.
Bu, saldırganların bellekle ilgili güvenlik açıklarından yararlanmasını ve arabellek taşması, geri dönüş odaklı programlama veya diğer bellek tabanlı açıklardan yararlanma gibi saldırıları başarıyla başlatmasını zorlaştırır.
Güvenlik açığı (CVE-2023-21492), Android 11, 12 ve 13 çalıştıran Samsung mobil cihazlarını etkiliyor ve günlük dosyalarına hassas bilgilerin eklenmesinden kaynaklanıyor.
Açığa çıkan bilgiler, yüksek ayrıcalıklara sahip yerel saldırganlar tarafından, bellek yönetimi sorunlarından yararlanmaya olanak sağlayabilecek bir ASLR bypass’ı gerçekleştirmek için kullanılabilir.
Bu ayki güvenlik güncellemelerinde Samsung, çekirdek işaretçilerinin artık günlük dosyalarına yazdırılmamasını sağlayarak bu sorunu ele aldı.
Şirket, Mayıs 2023 Güvenlik Bakım Sürümü (SMR) danışma belgesinde “Samsung’a bu soruna yönelik bir istismarın vahşi ortamda var olduğu bildirildi” diyor.
Samsung, CVE-2023-21492 istismarı hakkında ayrıntı vermese de, bu tür güvenlik açıkları genellikle yüksek hedefli saldırılarda karmaşık istismar zincirlerinin bir parçası olarak kötüye kullanılır.
Örneğin, Mart ayında, Google’ın Tehdit Analizi Grubu (TAG) ve Uluslararası Af Örgütü, ticari casus yazılım yüklemek için Android, iOS ve Chrome kusur zincirlerini kullanan iki yeni saldırı serisini ortaya çıkardı ve kampanyalardan biri Birleşik Arap’taki Samsung kullanıcılarını hedef aldı. Emirlikler (BAE).
Federal kurumlara 9 Haziran’a kadar yama yapma talimatı verildi
CISA’nın Cuma günü Güvenlik Açıklarından Yararlanan Bilinen Güvenlik Açıkları kataloğuna güvenlik açığını eklemesinin ardından, ABD Federal Sivil Yürütme Şube Birimlerine (FCEB) Samsung Android cihazlarını CVE-2023-21492’den yararlanan saldırılara karşı korumaları için 9 Haziran’a kadar üç haftalık bir süre verildi. .
Bu, Kasım 2021’de yayınlanan ve federal kurumların CISA’nın KEV listesine eklenen tüm kusurları son tarih sona ermeden önce gidermesini gerektiren bağlayıcı bir operasyonel direktif (BOD 22-01) ile uyumludur.
Öncelikle ABD federal kurumlarını hedef alsa da, özel şirketlerin de siber güvenlik kurumunun saldırılarda yararlanılan hatalar listesinde listelenen güvenlik açıklarını ele almaya öncelik vermesi şiddetle tavsiye edilir.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor” dedi.
Bir hafta önce ABD federal kurumlarına, Wi-Fi erişim noktalarına AndoryuBot kötü amaçlı yazılımı bulaştırmak için vahşi ortamda kötüye kullanılan kritik bir uzaktan kod yürütme (RCE) Ruckus hatasını yamalama emri verildi.