L’agenzia statunitense per la sicurezza informatica e delle infrastrutture, CISA, ha aggiunto due vulnerabilità al suo catalogo di vulnerabilità conosciute ed attivamente sfruttate, basandosi su prove di sfruttamento in corso.
Le due vulnerabilità e le loro implicazioni
Le due falle di sicurezza individuate sono le seguenti:
- CVE-2023-20963 (punteggio CVSS: 7.8) – Vulnerabilità di escalation dei privilegi nel framework Android
- CVE-2023-29492 (punteggio CVSS: TBD) – Vulnerabilità di deserializzazione insicura in Novi Survey
Per quanto riguarda la CVE-2023-20963, CISA ha rivelato che il framework Android contiene una vulnerabilità non specificata che consente l’escalation dei privilegi dopo l’aggiornamento di un’app a un Target SDK superiore, senza bisogno di ulteriori privilegi di esecuzione.
L’exploit della vulnerabilità Android e il coinvolgimento di Pinduoduo
Google ha ammesso nel suo bollettino di sicurezza Android di marzo 2023 che ci sono indicazioni di un possibile sfruttamento limitato e mirato della CVE-2023-20963. Ars Technica ha rivelato che app Android firmate digitalmente dall’azienda cinese di e-commerce Pinduoduo hanno sfruttato la falla per prendere il controllo dei dispositivi e rubare dati sensibili, citando un’analisi della società di sicurezza mobile Lookout.
La seconda vulnerabilità: Novi Survey
La seconda vulnerabilità aggiunta al catalogo KEV riguarda una falla di deserializzazione insicura nel software Novi Survey, che consente agli aggressori remoti di eseguire codice sul server nel contesto dell’account di servizio. La vulnerabilità, che colpisce le versioni di Novi Survey precedenti alla 8.9.43676, è stata corretta dal provider di Boston il 10 aprile 2023.
Misure di sicurezza consigliate
Per contrastare i rischi derivanti da queste vulnerabilità, le agenzie federali civili esecutive degli Stati Uniti sono invitate ad applicare le patch necessarie entro il 4 maggio 2023.