La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) advirtió hoy sobre una vulnerabilidad de Android de alta gravedad que se cree que fue explotada por una aplicación de comercio electrónico china, Pinduoduo, como un día cero para espiar a sus usuarios.
Esta falla de seguridad de Android Framework (registrada como CVE-2023-20963) permite a los atacantes aumentar los privilegios en dispositivos Android sin parches y sin necesidad de interacción del usuario.
«Android Framework contiene una vulnerabilidad no especificada que permite la escalada de privilegios después de actualizar una aplicación a un SDK de destino superior sin necesidad de privilegios de ejecución adicionales», explica CISA.
Google abordó el error en las actualizaciones de seguridad lanzadas a principios de marzo y dijo que «hay indicios de que CVE-2023-20963 puede estar bajo una explotación limitada y dirigida».
El 21 de marzo, Google suspendió la aplicación de compras oficial del gigante minorista en línea chino Pinduoduo (que afirma tener más de 750 millones de usuarios activos mensuales) de Play Store después de descubrir malware en versiones fuera de Play de la aplicación, etiquetándola como una aplicación dañina. y advirtiendo a los usuarios que podría permitir el «acceso no autorizado» a sus datos o dispositivos.
Días después, los investigadores de Kaspersky también revelaron que habían encontrado versiones de la aplicación que explotaban las vulnerabilidades de Android (una de ellas CVE-2023-20963 según Ars Technica) para escalar privilegios e instalar módulos adicionales diseñados para espiar a los usuarios.
«Algunas versiones de la aplicación Pinduoduo contenían código malicioso, que explotaba vulnerabilidades conocidas de Android para escalar privilegios, descargar y ejecutar módulos maliciosos adicionales, algunos de los cuales también obtuvieron acceso a las notificaciones y archivos de los usuarios», dijo a Bloomberg el investigador de seguridad de Kaspersky, Igor Golovin.
Agencias federales ordenadas a parchear dentro de tres semanas
Las agencias de la Rama Ejecutiva Civil Federal de EE. UU. (FCEB) tienen hasta el 4 de mayo para proteger sus dispositivos contra la vulnerabilidad CVE-2023-20963 agregada por CISA a su lista de vulnerabilidades explotadas conocidas el jueves.
De acuerdo con la directiva operativa vinculante (BOD 22-01) de noviembre de 2021, las agencias federales deben verificar y reparar sus redes para detectar todas las fallas de seguridad incluidas en el catálogo KEV de CISA.
Incluso si el catálogo está dirigido principalmente a las agencias federales de EE. UU., se recomienda enfáticamente que las empresas privadas también traten las vulnerabilidades en el catálogo de CISA con prioridad.
«Este tipo de vulnerabilidades son vectores de ataque frecuentes para los actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal», dijo la agencia de seguridad cibernética de EE. UU.
CISA también ordenó a las agencias federales parchear iPhones y Macs contra dos vulnerabilidades de seguridad explotadas en la naturaleza como día cero antes del 1 de mayo.
Fuente y redacción: underc0de.org