El equipo de investigación de seguridad de Google detectó una serie de vulnerabilidades de día cero en los módems. Informó sobre 18 vulnerabilidades de día cero en los conjuntos de chips Exynos de Samsung utilizados en dispositivos móviles, dispositivos portátiles y automóviles.
Las fallas de seguridad del módem Exynos se informaron entre fines de 2022 y principios de 2023. Cuatro de los dieciocho se identificaron como los más graves, lo que permitió la ejecución remota de código desde Internet a la banda base.
Estos errores de ejecución remota de código (RCE) de Internet a banda base (incluidos CVE-2023-24033 y otros tres que aún esperan un CVE-ID) permiten a los atacantes comprometer dispositivos vulnerables de forma remota y sin ninguna interacción del usuario.
“Las pruebas realizadas por Project Zero confirman que esas cuatro vulnerabilidades permiten que un atacante comprometa de forma remota un teléfono a nivel de banda base sin interacción del usuario, y solo requiere que el atacante conozca el número de teléfono de la víctima. Con investigación y desarrollo adicionales limitados, creemos que los atacantes expertos podrían crear rápidamente un exploit operativo para comprometer los dispositivos afectados de forma silenciosa y remota”.
«Hasta que las actualizaciones de seguridad estén disponibles, los usuarios que deseen protegerse de las vulnerabilidades de ejecución remota de código de banda base en los conjuntos de chips Exynos de Samsung pueden desactivar las llamadas Wi-Fi y Voice-over-LTE (VoLTE) en la configuración de su dispositivo. Desactivar estas configuraciones eliminará el riesgo de explotación de estas vulnerabilidades.» Publicado por Tim Willis, Proyecto Cero
Dispositivos afectados
Los avisos de Samsung Semiconductor proporcionan la lista de conjuntos de chips Exynos que se ven afectados por estas vulnerabilidades. Según la información de los sitios web públicos que asignan conjuntos de chips a dispositivos, es probable que los productos afectados incluyan:
- Dispositivos móviles de Samsung, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 y A04;
- Dispositivos móviles de Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30;
- Las series de dispositivos Pixel 6 y Pixel 7 de Google; y
- cualquier vehículo que use el chipset Exynos Auto T5123.
Recomendaciones:
Se espera que los plazos de los parches varíen según el fabricante (por ejemplo, los dispositivos Pixel afectados ya recibieron una corrección para CVE-2023-24033 en la actualización de seguridad de marzo de 2023).
Mientras tanto, los usuarios con dispositivos afectados pueden protegerse de las vulnerabilidades de ejecución remota de código de banda base mencionadas en esta publicación desactivando las llamadas Wi-Fi y Voice-over-LTE (VoLTE) en la configuración de su dispositivo.
Referencias:
- https://googleprojectzero.blogspot.com/2023/03/multiple-internet-to-baseband-remote-rce.html
- https://www.bleepingcomputer.com/news/security/google-finds-18-zero-day-vulnerabilities-in-samsung-exynos-chipsets/
- https://semiconductor.samsung.com/support/quality-support/product-security-updates/
- https://github.com/advisories/GHSA-5pgr-37hm-gqpw