Onderzoekers van het Google Project Zero-team rapporteerden de identificatie van 18 kwetsbaarheden in Samsung Exynos 5G/LTE/GSM-modems. De vier gevaarlijkste kwetsbaarheden (CVE-2023-24033) maken het uitvoeren van code op basisbandchipniveau mogelijk door manipulatie vanaf externe internetnetwerken. Volgens vertegenwoordigers van Google Project Zero zullen ervaren aanvallers, na wat aanvullend onderzoek te hebben gedaan, snel een werkende exploit kunnen voorbereiden die het mogelijk maakt om op afstand controle te krijgen op het niveau van de draadloze module, waarbij alleen het telefoonnummer van het slachtoffer bekend is. De aanval kan ongemerkt door de gebruiker worden uitgevoerd en vereist geen actie van hem.
De overige veertien kwetsbaarheden hebben een lager ernstniveau, omdat de aanval toegang vereist tot de infrastructuur van de mobiele netwerkoperator of lokale toegang tot het apparaat van de gebruiker. Met uitzondering van CVE-14-2023, die werd gepatcht in een firmware-update van maart voor Google Pixel-apparaten, blijven de problemen ongepatcht. Het enige dat bekend is over de CVE-24033-2023-kwetsbaarheid is dat deze wordt veroorzaakt door een onjuiste controle van het formaat van het ‘accept-type’-attribuut dat wordt verzonden in SDP-berichten (Session Description Protocol).
Totdat de kwetsbaarheden door de fabrikanten zijn verholpen, wordt gebruikers geadviseerd om de ondersteuning voor VoLTE (Voice-over-LTE) en de functie voor bellen via Wi-Fi in de instellingen uit te schakelen. De kwetsbaarheden komen voor in toestellen uitgerust met Exynos-chips, bijvoorbeeld in Samsung-smartphones (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 en A04), Vivo (S16, S15, S6, X70, X60 en X30), Google Pixel (6 en 7), evenals draagbare apparaten met de Exynos W920-chipset en autosystemen met de Exynos Auto T5123-chip.
Vanwege het gevaar van de kwetsbaarheden en de realiteit van de snelle opkomst van een exploit, heeft Google besloten voor de vier gevaarlijkste problemen een uitzondering op de regel te maken en de openbaarmaking van informatie over de aard van de problemen uit te stellen. Voor de resterende kwetsbaarheden worden details 4 dagen na kennisgeving aan de leverancier bekendgemaakt (informatie over kwetsbaarheden CVE-90-2023, CVE-26072-2023, CVE-26073-2023, CVE-26074-2023 en CVE-26075-2023 is al beschikbaar in het bugvolgsysteem, en voor de overige 26076 nummers is de wachtperiode van 9 dagen nog niet verstreken). De gerapporteerde kwetsbaarheden CVE-90-2023* worden veroorzaakt door een bufferoverflow bij het decoderen van bepaalde opties en lijsten in de NrmmMsgCodec- en NrSmPcoCodec-codecs.
Bron: opennet.ru