Os investigadores do equipo Google Project Zero informaron do descubrimento de 18 vulnerabilidades nos módems Samsung Exynos 5G/LTE/GSM. As catro vulnerabilidades máis perigosas (CVE-2023-24033) permiten a execución de código a nivel de chip de banda base mediante a manipulación desde redes de Internet externas. Segundo os representantes de Google Project Zero, despois dunha pequena investigación adicional, os atacantes cualificados poderán preparar rapidamente un exploit que permita obter o control de forma remota a nivel de módulo sen fíos, coñecendo só o número de teléfono da vítima. O ataque pode levarse a cabo desapercibido polo usuario e non require que realice ningunha acción.
As 14 vulnerabilidades restantes teñen un nivel de gravidade inferior, xa que o ataque require o acceso á infraestrutura do operador de rede móbil ou un acceso local ao dispositivo do usuario. Con excepción da vulnerabilidade CVE-2023-24033, unha corrección para a cal se propuxo na actualización do firmware de marzo para os dispositivos Google Pixel, os problemas seguen sen parchear. O único que se sabe sobre a vulnerabilidade CVE-2023-24033 é que se produce pola comprobación incorrecta do formato do atributo "accept-type" transmitido nas mensaxes SDP (Session Description Protocol).
Ata que os fabricantes solucionen as vulnerabilidades, recoméndase aos usuarios que desactiven a compatibilidade con VoLTE (Voz sobre LTE) e a función de chamada a través de Wi-Fi na configuración. As vulnerabilidades maniféstanse en dispositivos equipados con chips Exynos, por exemplo, en teléfonos intelixentes Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04), Vivo (S16, S15, S6, X70, X60 e X30), Google Pixel (6 e 7), así como dispositivos portátiles baseados no chipset Exynos W920 e sistemas automotivos co chip Exynos Auto T5123.
Debido ao perigo de vulnerabilidades e ao realismo da rápida aparición dun exploit, Google decidiu facer unha excepción para os 4 problemas máis perigosos e aprazar a divulgación de información sobre a natureza dos problemas. Para o resto das vulnerabilidades, seguirase o calendario de divulgación de detalles 90 días despois da notificación ao fabricante (información sobre as vulnerabilidades CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 e CVE -2023-26076 xa está dispoñible no sistema de seguimento de erros, e para os 9 problemas restantes, a espera de 90 días aínda non caducou). As vulnerabilidades notificadas CVE-2023-2607* son causadas por un desbordamento do búfer ao decodificar determinadas opcións e listas nos códecs NrmmMsgCodec e NrSmPcoCodec.
Fonte: opennet.ru