ProjectZero – nhóm tìm kiếm lỗ hổng của Google – đã tìm thấy và báo cáo 18 lỗ hổng mới trong Samsung Exynos chipsets dùng trong các thiết bị di động, phụ kiện công nghệ và xe hơi.
Lỗ hổng của modem Exynos được báo cáo từ cuối năm 2022 và đầu năm 2023. Bốn trong tám lỗ hổng mới được xác định là rất nghiêm trọng, có thực thi mã từ internet tới baseband. Các lỗi thực thi mã từ xa từ internet tới baseband (bao gồm CVE-2023-24033 và 3 lỗ hổng khác vẫn đang đợi cấp mã định danh) cho phép kẻ tấn công có thể chiếm đoạt, điều khiển thiết bị mà không cần đến sự tương tác của người dùng. Samsung cho lời khuyên: “Phần mềm baseband không kiểm tra định dạng dữ liệu của thuộc tính accept-type trong SDP nên có thể dẫn đến tấn công từ chối dịch vụ hoặc là thực thi code trong Samsung Baseband modem”. Theo Tim Willis – trưởng nhóm ProjectZero – thông tin duy nhất cần thiết để thực hiện các cuộc tấn công là số điện thoại của nạn nhân. Tệ hơn, những kẻ tấn công có kinh nghiệm có thể dễ dàng tạo ra một khai thác có khả năng xâm phạm từ xa đến các thiết bị tồn tại lỗ hổng mà không gây sự chú ý của mục tiêu. 14 lỗ hổng còn lại (bao gồm CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 và 9 lỗ hổng khác đang chờ định danh) không được đánh giá nghiêm trọng nhưng vẫn tồn tại rủi ro. Để khai thác thành công hacker phải truy cập vào mạng nội bộ hoặc tạo ra các hệ thống điều hành mạng di động độc hại. Dựa trên danh sách được cung cấp bởi Samsung các thiết bị bị ảnh hưởng bao gồm:- Thiết bị di động Samsung bao gồm S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 and A04 series;
- Thiết bị di động Vivo bao gồm: Mobile devices from Vivo, including those in the S16, S15, S6, X70, X60 and X30 series;
- Pixel 6 và 7 series của Google
- Bất kỳ thiết bị phụ kiện di động nào được dùng Exynos w920 chipsets và bất kỳ phương tiện nào dùng exynos Auto T5123
Giải pháp thay thế
trong khi Samsung đã cung cấp bản vá để sửa các lỗ hổng ảnh hưởng đến các nhà cung cấp, bản vá chưa được công khai và không thể áp dụng cho tất cả các người dùng bị ảnh hưởng. Tiến trình vá lỗi của mỗi nhà sản xuất dành cho thiết bị của họ sẽ khác nhau. Chẳng hạn, Google đã xử lý CVE-2023-24033 cho các thiết bị Pixel bị ảnh hưởng trong bản cập nhật bảo mật tháng 3 năm 2023. Tuy nhiên, cho đến khi có các bản vá lỗi, người dùng có thể ngăn chặn các nỗ lực khai thác RCE nhắm vào các chipset Exynos của Samsung bằng cách vô hiệu hóa cuộc gọi Wi-Fi và Voice-over-LTE (VoLTE) để loại bỏ vectơ tấn công. “Như mọi khi, chúng tôi khuyến khích người dùng cuối cập nhật thiết bị của họ càng sớm càng tốt, để đảm bảo rằng họ đang chạy các phiên bản mới nhất đã khắc phục các lỗ hổng bảo mật được tiết lộ và chưa được tiết lộ” – Willis nói thêm.Nguồn: Bleeping Computer