פגיעות במודולים אלחוטיים של Samsung Exynos המנוצלים דרך האינטרנט

חוקרים מצוות Google Project Zero דיווחו על גילוי של 18 נקודות תורפה במודמים של Samsung Exynos 5G/LTE/GSM. ארבע הפגיעויות המסוכנות ביותר (CVE-2023-24033) מאפשרות ביצוע קוד ברמת שבב פס הבסיס באמצעות מניפולציה מרשתות אינטרנט חיצוניות. לדברי נציגי Google Project Zero, לאחר מחקר קטן נוסף, תוקפים מוסמכים יוכלו להכין במהירות ניצול עובד המאפשר להשיג שליטה מרחוק ברמת המודול האלחוטי, בידיעה רק את מספר הטלפון של הקורבן. ההתקפה יכולה להתבצע ללא תשומת לב למשתמש ואינה מחייבת אותו לבצע כל פעולה.

לשאר 14 הפגיעויות יש רמת חומרה נמוכה יותר, מאחר שהמתקפה דורשת גישה לתשתית של מפעיל הרשת הסלולרית או גישה מקומית למכשיר המשתמש. למעט הפגיעות CVE-2023-24033, שתיקון עבורה הוצע בעדכון הקושחה של מרץ עבור מכשירי Google Pixel, הבעיות נותרו ללא תיקון. הדבר היחיד הידוע על הפגיעות של CVE-2023-24033 הוא שהיא נגרמת מבדיקה שגויה של הפורמט של תכונת "accept-type" המשודרת בהודעות SDP (Session Description Protocol).

עד שהפגיעויות יתוקנו על ידי היצרנים, מומלץ למשתמשים להשבית את תמיכת VoLTE (Voice-over-LTE) ואת פונקציית ההתקשרות באמצעות Wi-Fi בהגדרות. פגיעויות מתבטאות במכשירים המצוידים בשבבי Exynos, למשל, בסמארטפונים של סמסונג (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ו-A04), Vivo (S16, S15, S6, X70, X60 ו-X30), Google Pixel (6 ו-7), כמו גם מכשירים לבישים המבוססים על ערכת השבבים Exynos W920 ומערכות רכב עם שבב Exynos Auto T5123.

בשל סכנת הפגיעות והמציאותיות של הופעתו המהירה של ניצול, גוגל החליטה לעשות חריג עבור 4 הבעיות המסוכנות ביותר ולדחות את חשיפת המידע על אופי הבעיות. עבור שאר הפגיעויות, לוח הזמנים של חשיפת הפרטים יתבצע 90 יום לאחר קבלת הודעה ליצרן (מידע על פרצות CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 ו-CVE -2023-26076 כבר זמין במערכת מעקב אחר באגים, ועבור 9 הבעיות הנותרות, המתנה של 90 יום טרם פג). הפגיעויות המדווחות CVE-2023-2607* נגרמות על ידי הצפת מאגר בעת פענוח אפשרויות ורשימות מסוימות ב-Codec NrmmMsgCodec ו- NrSmPcoCodec.

מקור: OpenNet.ru