Investigadores del equipo de Google Project Zero informaron el descubrimiento de 18 vulnerabilidades en los módems Samsung Exynos 5G/LTE/GSM. Las cuatro vulnerabilidades más peligrosas (CVE-2023-24033) permiten la ejecución de código a nivel de chip de banda base a través de la manipulación de redes externas de Internet. Según los representantes de Google Project Zero, después de un poco de investigación adicional, los atacantes calificados podrán preparar rápidamente un exploit funcional que permita obtener el control de forma remota a nivel del módulo inalámbrico, conociendo solo el número de teléfono de la víctima. El ataque puede llevarse a cabo sin que el usuario lo perciba y no requiere que realice ninguna acción.
Las 14 vulnerabilidades restantes tienen un nivel de gravedad menor, ya que el ataque requiere acceso a la infraestructura del operador de red móvil o acceso local al dispositivo del usuario. Con la excepción de la vulnerabilidad CVE-2023-24033, cuya solución se propuso en la actualización de firmware de marzo para los dispositivos Google Pixel, los problemas siguen sin solucionarse. Lo único que se sabe sobre la vulnerabilidad CVE-2023-24033 es que está causada por una verificación incorrecta del formato del atributo "aceptar tipo" transmitido en los mensajes SDP (Session Description Protocol).
Hasta que los fabricantes solucionen las vulnerabilidades, se recomienda a los usuarios que deshabiliten la compatibilidad con VoLTE (Voz sobre LTE) y la función de llamada a través de Wi-Fi en la configuración. Las vulnerabilidades se manifiestan en dispositivos equipados con chips Exynos, por ejemplo, en los teléfonos inteligentes Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04), Vivo (S16, S15, S6, X70, X60 y X30), Google Pixel (6 y 7), así como dispositivos portátiles basados en el chipset Exynos W920 y sistemas automotrices con el chip Exynos Auto T5123.
Debido al peligro de las vulnerabilidades y al realismo de la rápida aparición de un exploit, Google decidió hacer una excepción para los 4 problemas más peligrosos y posponer la divulgación de información sobre la naturaleza de los problemas. Para el resto de vulnerabilidades se seguirá el calendario de divulgación de detalles 90 días después de la notificación al fabricante (información sobre vulnerabilidades CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 y CVE -2023-26076 ya está disponible en el sistema de seguimiento de errores y para los 9 problemas restantes, la espera de 90 días aún no ha vencido). Las vulnerabilidades reportadas CVE-2023-2607* son causadas por un desbordamiento de búfer al decodificar ciertas opciones y listas en los códecs NrmmMsgCodec y NrSmPcoCodec.
Fuente: opennet.ru