CISA hari ini memperingatkan tentang kerentanan keamanan yang memengaruhi perangkat Samsung yang digunakan dalam serangan untuk melewati perlindungan pengacakan tata letak ruang alamat Android (ASLR).
ASLR adalah fitur keamanan Android yang mengacak alamat memori tempat aplikasi utama dan komponen OS dimuat ke dalam memori perangkat.
Hal ini mempersulit penyerang untuk mengeksploitasi kerentanan terkait memori dan berhasil meluncurkan serangan seperti buffer overflow, pemrograman berorientasi kembali, atau eksploitasi berbasis memori lainnya.
Kelemahan (CVE-2023-21492) memengaruhi perangkat seluler Samsung yang menjalankan Android 11, 12, dan 13 dan disebabkan oleh penyisipan informasi sensitif ke dalam file log.
Info yang terbuka dapat digunakan oleh penyerang lokal dengan hak istimewa tinggi untuk melakukan bypass ASLR yang dapat memungkinkan eksploitasi masalah manajemen memori.
Dalam pembaruan keamanan bulan ini, Samsung telah mengatasi masalah ini dengan memastikan bahwa penunjuk kernel tidak lagi dicetak di file log.
“Samsung diberi tahu bahwa eksploit untuk masalah ini telah ada di alam liar,” perusahaan itu kata dalam penasehat Rilis Pemeliharaan Keamanan (SMR) Mei 2023.
Meskipun Samsung tidak memberikan perincian tentang eksploitasi CVE-2023-21492, kerentanan keamanan semacam itu sering disalahgunakan sebagai bagian dari rantai eksploitasi kompleks dalam serangan yang sangat tertarget.
Misalnya, pada bulan Maret, Google Threat Analysis Group (TAG) dan Amnesty International terungkap dua rangkaian serangan baru-baru ini menggunakan rantai eksploit kelemahan Android, iOS, dan Chrome untuk menginstal spyware komersial, dengan salah satu kampanye yang menargetkan pengguna Samsung di Uni Emirat Arab (UEA).
Badan-badan federal diperintahkan untuk menambal pada 9 Juni
Agen Cabang Eksekutif Sipil Federal AS (FCEB) telah diberi tenggat waktu tiga minggu, hingga 9 Juni, untuk mengamankan perangkat Android Samsung mereka dari serangan yang mengeksploitasi CVE-2023-21492 setelah CISA menambahkan kerentanan pada hari Jumat ke katalog Kerentanan Tereksploitasi yang Diketahui .
Hal ini sejalan dengan a petunjuk operasional yang mengikat (BOD 22-01) dikeluarkan pada November 2021 yang mewajibkan lembaga federal untuk mengatasi semua kekurangan yang ditambahkan ke daftar KEV CISA sebelum tenggat waktu berakhir.
Meskipun ditujukan terutama untuk badan federal AS, sangat disarankan agar perusahaan swasta juga memprioritaskan penanganan kerentanan yang tercantum dalam daftar bug badan keamanan siber yang dieksploitasi dalam serangan.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku dunia maya berbahaya dan menimbulkan risiko signifikan bagi perusahaan federal,” kata CISA.
Seminggu yang lalu, agen federal AS juga dipesan untuk menambal bug eksekusi kode jarak jauh kritis (RCE) Ruckus yang disalahgunakan di alam liar untuk menginfeksi titik akses Wi-Fi dengan malware AndoryuBot.
