Badan Keamanan Siber dan Infrastruktur AS (CISA) hari ini memperingatkan tentang kerentanan Android dengan tingkat keparahan tinggi yang diyakini telah dieksploitasi oleh aplikasi e-commerce China Pinduoduo sebagai zero-day untuk memata-matai penggunanya.
Kelemahan keamanan Android Framework ini (dilacak sebagai CVE-2023-20963) memungkinkan penyerang meningkatkan hak istimewa pada perangkat Android yang belum di-patch tanpa memerlukan interaksi pengguna.
“Android Framework berisi kerentanan yang tidak ditentukan yang memungkinkan peningkatan hak istimewa setelah memperbarui aplikasi ke Target SDK yang lebih tinggi tanpa memerlukan hak eksekusi tambahan,” CISA menjelaskan.
Google mengatasi bug dalam pembaruan keamanan yang dirilis pada awal Maret, pepatah bahwa “ada indikasi bahwa CVE-2023-20963 mungkin berada di bawah eksploitasi terbatas yang ditargetkan.”
Pada tanggal 21 Maret, Google tergantung aplikasi belanja resmi raksasa pengecer online China Pinduoduo (yang mengklaim memiliki lebih dari 750 juta pengguna aktif bulanan) dari Play Store setelah menemukan perangkat lunak perusak dalam versi aplikasi di luar Play, menandainya sebagai aplikasi berbahaya dan memperingatkan pengguna bahwa hal itu dapat mengizinkan “akses tidak sah” ke data atau perangkat mereka.
Beberapa hari kemudian, peneliti Kaspersky juga mengungkapkan bahwa mereka telah menemukan versi aplikasi yang mengeksploitasi kerentanan Android (salah satunya menurut CVE-2023-20963). Ars Technica) untuk peningkatan hak istimewa dan pemasangan modul tambahan yang dirancang untuk memata-matai pengguna.
“Beberapa versi aplikasi Pinduoduo berisi kode berbahaya, yang mengeksploitasi kerentanan Android yang diketahui untuk meningkatkan hak istimewa, mengunduh dan menjalankan modul berbahaya tambahan, beberapa di antaranya juga mendapatkan akses ke notifikasi dan file pengguna,” peneliti keamanan Kaspersky Igor Golovin kepada Bloomberg.
Badan federal memerintahkan untuk menambal dalam waktu tiga minggu
Badan-badan Badan Cabang Eksekutif Sipil Federal AS (FCEB) memiliki waktu hingga 4 Mei untuk mengamankan perangkat mereka dari kerentanan CVE-2023-20963 yang ditambahkan oleh CISA ke dalam daftar Kerentanan Tereksploitasi yang Diketahui pada hari Kamis.
Menurut petunjuk operasional yang mengikat (BOD 22-01) mulai November 2021, lembaga federal harus memeriksa dan memperbaiki jaringan mereka untuk semua kelemahan keamanan yang termasuk dalam katalog KEV CISA.
Bahkan jika katalog tersebut terutama ditujukan untuk agen federal AS, sangat disarankan agar perusahaan swasta juga menangani kerentanan dalam katalog CISA dengan prioritas.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku dunia maya berbahaya dan menimbulkan risiko signifikan bagi perusahaan federal,” badan keamanan siber AS dikatakan.
Pada hari Senin, CISA juga dipesan agen federal untuk menambal iPhone dan Mac terhadap dua kerentanan keamanan yang dieksploitasi di alam liar sebagai hari nol pada 1 Mei.
