ช่องโหว่ในโทรศัพท์ Samsung ถูกเพิ่มในรายการ ‘Must Patch’ ของ CISA เนื่องจากการพบการโจมตีจาก Spyware

Cybersecurity & Infrastructure Security Agency (CISA) ของสหรัฐอเมริกา ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อโทรศัพท์มือถือ Samsung จำนวนหลายรายการลงในแคตตาล็อกของช่องโหว่ที่มีข้อมูลว่ากำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities Catalog) และปัจจุบันช่องโหว่ดังกล่าวพบว่ากำลังถูกใช้ในการโจมตีจาก Spyware

ในวันพฤหัสบดีที่ผ่านมา CISA ได้เพิ่มช่องโหว่ใหม่ 8 รายการลงในแคตตาล็อก ซึ่งรวมถึงช่องโหว่ของเราเตอร์ และ access point ของ D-Link ที่ถูกใช้ประโยชน์โดย Mirai botnet และยังมีช่องโหว่ความปลอดภัยที่เหลืออีก 6 รายการที่ส่งผลกระทบต่ออุปกรณ์มือถือ Samsung และทั้งหมดได้รับการแก้ไขไปแล้วในปี 2021

ช่องโหว่ดังกล่าวรวมถึง CVE-2021-25487 ที่เป็นช่องโหว่ out-of-bounds read ใน modem interface driver ที่อาจทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายได้โดยไม่ได้รับอนุญาต ซึ่งได้รับการแก้ไขไปแล้วตั้งแต่เดือนตุลาคม 2021 แม้ว่า Samsung จะจัดระดับความรุนแรงของช่องโหว่อยู่ในระดับ 'ปานกลาง' แต่คำแนะนำของ NVD ระบุว่าเป็นช่องโหว่ 'ระดับความรุนแรงสูง' ตามคะแนน CVSS

แพตซ์อัปเดตรอบเดียวกันในเดือนตุลาคม 2021 ยังรวมถึงการแก้ไขช่องโหว่ CVE-2021-25489 ซึ่งเป็นช่องโหว่ของ format string ที่มีระดับความรุนแรงต่ำใน modem interface driver ซึ่งอาจนำไปสู่เงื่อนไขการโจมตีแบบ DoS ได้

CISA ยังเพิ่มช่องโหว่ CVE-2021-25394 และ CVE-2021-25395 ซึ่งเป็นช่องโหว่ระดับ 'ปานกลาง' ที่เกี่ยวข้องกับช่องโหว่ use-after-free ใน MFC charger driver และทั้ง 2 ช่องโหว่ได้รับการแก้ไขโดย Samsung ในเดือนพฤษภาคม 2021

2 ช่องโหว่ที่เหลือคือ CVE-2021-25371 เป็นช่องโหว่ระดับ 'ปานกลาง' ที่ทำให้ผู้โจมตีสามารถโหลดไฟล์ ELF ที่ไม่เกี่ยวข้องภายใน DSP driver ได้ และ CVE-2021-25372 เป็นช่องโหว่ out-of-bounds access ระดับ 'ปานกลาง' ใน DSP driver เช่นเดียวกัน ซึ่งทั้ง 2 ช่องโหว่ได้รับการแก้ไขไปแล้วในเดือนมีนาคม 2021

ยังไม่มีรายงานที่อธิบายวิธีการโจมตีช่องโหว่ของอุปกรณ์มือถือ Samsung ที่ถูกเพิ่มในรายการ 'must-patch' ของ CISA ในสัปดาห์นี้ อย่างไรก็ตาม มีความเป็นไปได้ที่ช่องโหว่เหล่านี้กำลังถูกใช้ประโยชน์โดย Spyware

Samsung และ CISA ได้เตือนผู้ใช้งานเกี่ยวกับช่องโหว่ CVE-2023-21492 ที่เกี่ยวข้องกับ kernel pointer exposure ที่เกี่ยวข้องกับ log files ซึ่งอาจทำให้ผู้โจมตีที่มีสิทธิสูงในระบบ สามารถละเลยเทคนิคการป้องกันการโจมตีแบบ ASLR ได้

นักวิจัยจาก Google ผู้พบช่องโหว่ CVE-2023-21492 ได้ระบุว่าช่องโหว่นี้เป็นช่องโหว่ที่เป็นรู้จักมาตั้งแต่ปี 2021

นอกจากนี้ ในเดือนพฤศจิกายน 2022 Google ได้เปิดเผยรายละเอียดของช่องโหว่ในโทรศัพท์ Samsung 3 รายการที่คล้ายกันกับ CVE ปี 2021 ซึ่งได้ถูกใช้ประโยชน์จาก Spyware

ช่องโหว่ทั้ง 3 รายการที่เปิดเผยในเดือนพฤศจิกายน 2022 ได้รับการแก้ไขไปแล้วตั้งแต่เดือนมีนาคม 2021 นอกจากนี้ Google ยังได้ระบุว่าได้รับทราบช่องโหว่อื่น ๆ ของ Samsung อีกหลายช่องโหว่ที่มีรหัสระบุ CVE ในปี 2021 ซึ่งถูกนำมาใช้ประโยชน์ในการโจมตี ถือเป็นข้อมูลที่แสดงให้เห็นว่าช่องโหว่ที่ CISA เพิ่มในรายการในสัปดาห์นี้ได้ถูกใช้ประโยชน์จาก Spyware ซึ่งพฤติกรรมดังกล่าวได้รับการตรวจสอบโดย Google

โดยทวีตจาก Maddie Stone นักวิจัยของ Google Project Zero ที่ยืนยันว่าช่องโหว่ทั้งหมดของ Samsung ถูกค้นพบโดยเป็นส่วนหนึ่งของการวิจัยเดียวกัน และได้ถูกเพิ่มลงใน Google’s zero-day exploitation tracker ของ Google สำหรับปี 2021

อ้างอิง : https://www.