CISA advierte de vulnerabilidad Zero-Day de Android

Una vulnerabilidad de Android que al parecer fue explotada como Zero-Day por una aplicación china contra millones de dispositivos se ha añadido al catálogo de vulnerabilidades explotadas conocidas que mantiene la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos después de que Google confirmara su explotación.

Google dijo el 21 de marzo que había suspendido la popular aplicación de compras china Pinduoduo en su tienda de aplicaciones después de que se descubriera malware en versiones de la aplicación, distribuidas a través de otros sitios web. La empresa china negó las acusaciones.

La decisión de Google se produjo después de que investigadores chinos informaran de que habían observado comportamientos maliciosos asociados a Pinduoduo, acusando a la empresa de agregar los dispositivos de cientos de millones de sus usuarios en una red de bots.<

Según los investigadores, las aplicaciones de Pinduoduo aprovechan vulnerabilidades específicas de Android y de los fabricantes de equipos originales, recopilan datos de usuarios y aplicaciones, despliegan puertas traseras, instalan otras aplicaciones y eluden las funciones de seguridad.

Aproximadamente una semana después de que Google anunciara la eliminación de la aplicación Pinduoduo, los investigadores de la empresa de seguridad móvil Lookout confirmaron a Ars Technica que, efectivamente, la aplicación parece intentar tomar el control de los dispositivos, recopilar datos e instalar otro software, lo que podría afectar a millones de dispositivos.

Lookout también descubrió que la aplicación ha explotado una vulnerabilidad de Android rastreada como CVE-2023-20963, cuya explotación comenzó antes de que Google lanzara un parche en marzo.

Google describe CVE-2023-20963 como un fallo de escalamiento de privilegios de alta gravedad que afecta al componente framework de Android. El gigante de Internet actualizó su boletín de seguridad de Android 2023 de marzo en algún momento de abril para informar a los usuarios de que "hay indicios de que CVE-2023-20963 puede estar bajo explotación limitada y dirigida".

CISA añadió el jueves la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas (KEV), que también se conoce como una lista de "parches obligatorios" debido a que se insta encarecidamente a las organizaciones a abordar los fallos incluidos. La agencia ha dado instrucciones a las organizaciones gubernamentales para que lo parcheen en las próximas dos semanas.

Además de CVE-2023-20963, CISA ha añadido a su catálogo KEV una vulnerabilidad que afecta al software instalable de encuestas de Novi Survey. Novi Survey ha publicado un aviso para informar a los clientes sobre CVE-2023-29492, que según la empresa permite a un atacante remoto ejecutar código arbitrario en el servidor.

El jueves, Google pidió a los proveedores que fueran más transparentes en lo que respecta a la explotación de vulnerabilidades. "Los vendedores deben informar a los usuarios, a los socios de la cadena de suministro y a la comunidad sobre la explotación y notificar a las víctimas de manera oportuna a través de la divulgación pública y la divulgación directa cuando sea posible. Deberían compartirse detalles adicionales sobre vulnerabilidades y exploits para mejorar el conocimiento y las defensas de los investigadores", afirma Google.

En el documento de Google [PDF], el gigante de Internet menciona la creación del Hacking Policy Council, un grupo de organizaciones y líderes decididos a mejorar la seguridad de los usuarios, como primer paso para abogar por las mejores prácticas de gestión y divulgación de vulnerabilidades.

Fuente: SecurityWeek

Suscríbete a nuestro Boletín