La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha añadido dos vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basándose en evidencias de explotación activa.
Los dos fallos se enumeran a continuación
CVE-2023-20963 (puntuación CVSS: 7,8) – Vulnerabilidad de escalada de privilegios en Android Framework.
CVE-2023-29492 (puntuación CVSS: TBD) – Vulnerabilidad de deserialización insegura de Novi Survey.
“Android Framework contiene una vulnerabilidad no especificada que permite la escalada de privilegios después de actualizar una aplicación a un SDK de destino superior sin necesidad de privilegios de ejecución adicionales”, dijo CISA en un aviso para CVE-2023-20963.
Google, en su boletín mensual de seguridad de Android de marzo de 2023, reconoció que “hay indicios de que CVE-2023-20963 puede estar bajo explotación limitada y dirigida”.
La noticia se produce cuando el sitio de noticias tecnológicas Ars Technica reveló a finales del mes pasado que las aplicaciones de Android firmadas digitalmente por la empresa china de comercio electrónico Pinduoduo utilizaban el fallo como arma para hacerse con el control de los dispositivos y robar datos confidenciales, citando un análisis de la empresa de seguridad móvil Lookout.
Entre las principales funciones de la aplicación infectada con malware se incluyen inflar el número de usuarios activos diarios y mensuales de Pinduoduo, desinstalar aplicaciones rivales, acceder a notificaciones e información de localización e impedir que se desinstale.
La CNN, en un informe de seguimiento publicado a principios de mes, afirmó que un análisis de la versión 6.49.0 de la aplicación reveló código diseñado para lograr una escalada de privilegios e incluso rastrear la actividad del usuario en otras aplicaciones de compras.
Los exploits permitían a la aplicación maliciosa acceder a los contactos, calendarios y álbumes de fotos de los usuarios sin su consentimiento y solicitaban un “gran número de permisos más allá de las funciones normales de una aplicación de compras”, según el canal de noticias.
Vale la pena señalar que Google suspendió la aplicación oficial de Pinduoduo de la Play Store en marzo, citando el malware identificado en “versiones off-Play” del software.
La segunda vulnerabilidad añadida al catálogo KEV está relacionada con una vulnerabilidad de deserialización insegura en el software Novi Survey que permite a atacantes remotos ejecutar código en el servidor en el contexto de la cuenta de servicio.
El problema, que afecta a las versiones de Novi Survey anteriores a la 8.9.43676, fue solucionado por el proveedor con sede en Boston a principios de esta semana, el 10 de abril de 2023. Actualmente se desconoce cómo está aprovechándose el fallo en ataques reales.
Info – Ciberseguridad Latam
Especialista en Tecnología #Ciberseguridad #CISO #ComputerForensic #Coach Mail público http://mypublicinbox.com/ingabreuortiz