La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajoutée deux vulnérabilités à son catalogue de vulnérabilités exploitées connues (KEV), sur la base de preuves d’exploitation active.
Les deux défauts sont énumérés ci-dessous –
- CVE-2023-20963 (Score CVSS : 7,8) – Vulnérabilité d’escalade des privilèges du cadre Android
- CVE-2023-29492 (Score CVSS : à déterminer) – Vulnérabilité de désérialisation non sécurisée de Novi Survey
« Android Framework contient une vulnérabilité non spécifiée qui permet une élévation des privilèges après la mise à jour d’une application vers un SDK cible supérieur sans privilèges d’exécution supplémentaires nécessaires », CISA a dit dans un avis pour CVE-2023-20963.
Google, dans son Android Security Bulletin mensuel de mars 2023, reconnu « il y a des indications que CVE-2023-20963 pourrait faire l’objet d’une exploitation limitée et ciblée. »
Le développement intervient alors que le site d’actualités technologiques Ars Technica divulgué À la fin du mois dernier, des applications Android signées numériquement par la société chinoise de commerce électronique Pinduoduo ont militarisé la faille pour prendre le contrôle des appareils et voler des données sensibles, citant une analyse de la société de sécurité mobile Lookout.
Parmi les principales fonctionnalités de l’application contenant des logiciels malveillants, citons le gonflement du nombre d’utilisateurs actifs quotidiens et d’utilisateurs actifs mensuels de Pinduoduo, la désinstallation d’applications concurrentes, l’accès aux notifications et aux informations de localisation, et l’empêchement d’être désinstallé.
CNN, dans un rapport de suivi publié plus tôt ce mois-ci, a déclaré qu’une analyse de la version 6.49.0 de l’application a révélé un code conçu pour obtenir une escalade des privilèges et même suivre l’activité des utilisateurs sur d’autres applications d’achat.
Les exploits ont permis à l’application malveillante d’accéder aux contacts, aux calendriers et aux albums photo des utilisateurs sans leur consentement et ont demandé un « grand nombre d’autorisations au-delà des fonctions normales d’une application d’achat », a déclaré la chaîne d’information.
Il convient de souligner que Google suspendu L’application officielle de Pinduoduo sur le Play Store en mars, citant des logiciels malveillants identifiés dans les « versions hors Play » du logiciel.
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
Cela dit, on ne sait toujours pas comment ces fichiers APK ont été signés avec la même clé utilisée pour signer l’application Pinduoduo légitime. Cela indique soit une fuite clé, le travail d’un initié voyou, un compromis du pipeline de construction de Pinduoduo, soit une tentative délibérée de la société chinoise de distribuer des logiciels malveillants.
La deuxième vulnérabilité ajoutée au catalogue KEV concerne une vulnérabilité de désérialisation non sécurisée dans le logiciel Novi Survey qui permet à des attaquants distants d’exécuter du code sur le serveur dans le contexte du compte de service.
Le problème, qui affecte les versions de Novi Survey antérieures à 8.9.43676, était adressé par le fournisseur basé à Boston plus tôt cette semaine, le 10 avril 2023. On ne sait actuellement pas comment la faille est exploitée dans des attaques réelles.
Pour contrer les risques posés par les vulnérabilités, il est conseillé aux agences du Federal Civilian Executive Branch (FCEB) aux États-Unis d’appliquer les correctifs nécessaires d’ici le 4 mai 2023.