Ngày 14 tháng 4 năm 2023Ravie LakshmananBảo mật di động / Mối đe dọa mạng
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã thêm hai lỗ hổng vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) dựa trên bằng chứng về hoạt động khai thác tích cực.
Hai sai sót được liệt kê dưới đây –
CVE-2023-20963 (Điểm CVSS: 7,8) – Lỗ hổng leo thang đặc quyền của Android Framework
CVE-2023-29492 (Điểm CVSS: TBD) – Lỗ hổng Novi Survey Insecure Deserialization
“Android Framework chứa một lỗ hổng không xác định cho phép leo thang đặc quyền sau khi cập nhật ứng dụng lên SDK mục tiêu cao hơn mà không cần đặc quyền thực thi bổ sung”, CISA cho biết trong một lời khuyên cho CVE-2023-20963.
Google, trong Bản tin bảo mật Android hàng tháng cho tháng 3 năm 2023, đã thừa nhận “có dấu hiệu cho thấy CVE-2023-20963 có thể bị khai thác có mục tiêu, hạn chế.”
Sự phát triển diễn ra khi trang tin công nghệ Ars Technica tiết lộ vào cuối tháng trước rằng các ứng dụng Android được ký điện tử bởi công ty thương mại điện tử Pinduoduo của Trung Quốc đã vũ khí hóa lỗ hổng để chiếm quyền kiểm soát thiết bị và đánh cắp dữ liệu nhạy cảm, trích dẫn phân tích từ công ty bảo mật di động Lookout.
Đứng đầu trong số các khả năng của ứng dụng chứa phần mềm độc hại bao gồm tăng số lượng người dùng hoạt động hàng ngày và người dùng hoạt động hàng tháng của Pinduoduo, gỡ cài đặt ứng dụng đối thủ, truy cập thông báo và thông tin vị trí cũng như ngăn không cho chính ứng dụng này bị gỡ cài đặt.
CNN, trong một báo cáo tiếp theo được công bố vào đầu tháng này, cho biết một phân tích về phiên bản 6.49.0 của ứng dụng đã tiết lộ mã được thiết kế để đạt được sự leo thang đặc quyền và thậm chí theo dõi hoạt động của người dùng trên các ứng dụng mua sắm khác.
Việc khai thác cho phép ứng dụng độc hại truy cập danh bạ, lịch và album ảnh của người dùng mà không có sự đồng ý của họ và yêu cầu “một số lượng lớn quyền vượt quá các chức năng thông thường của ứng dụng mua sắm”, kênh tin tức cho biết.
Cần chỉ ra rằng Google đã đình chỉ ứng dụng chính thức của Pinduoduo khỏi Cửa hàng Play vào tháng 3, trích dẫn phần mềm độc hại được xác định trong “các phiên bản ngoài Play” của phần mềm.
Điều đó nói rằng, vẫn chưa rõ làm thế nào các tệp APK này được ký bằng cùng một khóa được sử dụng để ký ứng dụng Pinduoduo hợp pháp. Điều này có thể dẫn đến một vụ rò rỉ khóa, công việc của một kẻ lừa đảo trong nội bộ, một sự xâm nhập vào quy trình xây dựng của Pinduoduo hoặc một nỗ lực có chủ ý của công ty Trung Quốc nhằm phân phối phần mềm độc hại.
Lỗ hổng thứ hai được thêm vào danh mục KEV liên quan đến lỗ hổng khử lưu huỳnh không an toàn trong phần mềm Novi Survey cho phép kẻ tấn công từ xa thực thi mã trên máy chủ trong ngữ cảnh của tài khoản dịch vụ.
Vấn đề ảnh hưởng đến các phiên bản Novi Survey trước 8.9.43676, đã được nhà cung cấp có trụ sở tại Boston giải quyết vào đầu tuần này vào ngày 10 tháng 4 năm 2023. Hiện vẫn chưa biết lỗ hổng này đang bị lạm dụng như thế nào trong các cuộc tấn công trong thế giới thực.
Để chống lại những rủi ro do lỗ hổng gây ra, các cơ quan của Chi nhánh Hành pháp Dân sự Liên bang (FCEB) tại Hoa Kỳ nên áp dụng các bản vá cần thiết trước ngày 4 tháng 5 năm 2023.
