Author: Seguridad CSIRT-CV

Android ha publicat el butlletí de seguretat corresponent al mes d’agost de 2024

Anàlisi

El butlletí d’Android, relatiu a agost de 2024, soluciona múltiples vulnerabilitats de severitat crítica i alta que afecten el seu sistema operatiu, així com múltiples components, que podrien provocar una escalada de privilegis, una divulgació d’informació o una execució remota de codi.

Entre altres, s’han corregit les vulnerabilitats següents:

• • CVE-2024-23350: esta vulnerabilitat crítica podria comportar la denegació de servici permanent quan el transport DL NAS rep diverses càrregues útils, una de les quals conté un contenidor SOR la comprovació d’integritat del qual ha fallat, i l’altra és un LPP en el qual l’equip ha d’enviar un missatge d’estat a la xarxa.
  • CVE-2024-36971: vulnerabilitat de severitat alta i tipus RCE que es trobava en explotació activa. Corregida en el kernel de Linux.

La resta d’identificadors CVE poden consultar-se en les referències.

Recursos afectats

• • Android Open Source Project (AOSP): versions 12, 12L, 13 i 14.
  • Components d’Arm, MediaTek, Imagination Technologies i Qualcomm.

Recomanacions

• • En cas d’utilitzar dispositius Android, s’ha de comprovar que el fabricant haja publicat un pedaç de seguretat i actualitzar-los.

    En esta pàgina s’indica com verificar la versió d’Android d’un dispositiu i la data del pedaç de seguretat d’alguns fabricants. En cas que seguint esta guia no es puga comprovar la versió dels dispositius o la data del pedaç de seguretat, es recomana revisar la pàgina del fabricant.

Referències

• • Android Security Bulletin – August 2024
•  

Google ha solucionat una vulnerabilitat de seguretat d’alta gravetat que afecta el kernel d’Android i que ha sigut explotada activament.

Anàlisi

La vulnerabilitat, identificada com a CVE-2024-36971, ha sigut descrita com un cas d’execució remota de codi que afecta el kernel.

Hi ha indicis que CVE-2024-36971 pot estar sota explotació limitada i dirigida, segons va informar Google en el seu butlletí de seguretat mensual d’Android d’agost de 2024.
L’empresa no va compartir més detalls sobre la naturalesa dels ciberatacs que exploten l’error ni va atribuir l’activitat a un actor o grup d’amenaces en particular.
Actualment, no se sap si els dispositius Pixel també es veuen afectats per l’error.

És probable que estiga sent explotada per proveïdors de programari espia comercials per a infiltrar-se en dispositius Android en atacs específicament dirigits.

El pedaç d’agost aborda un total de 47 vulnerabilitats, incloent-hi aquelles identificades en components associats amb Arm, Imagination Technologies, MediaTek i Qualcomm.

Google també va resoldre 12 vulnerabilitats d’escalada de privilegis, un error de divulgació d’informació i una vulnerabilitat de denegació de servici (DoS) que afectaven el marc d’Android.

Recomanacions

• • Aplicar el pedaç d’actualitzacions d’Android amb les versions més recents que corregixen la vulnerabilitat.

Referències

• • https://thehackernews.com/2024/08/google-patches-new-android-kernel.html

En el dia d’ahir, 4 d’agost, s’ha conegut l’existència d’una proposta de demanda col·lectiva que afirma que Jerico Pictures Inc., que opera amb National Public Data, va exposar la informació personal de quasi 3 mil milions de persones en una violació de dades que va ocórrer a l’abril d’enguany.

El 8 d’abril, un actor d’amenaces que utilitza el sobrenom d’USDoD va anunciar la venda d’una base de dades de “dades públiques nacionals” en un fòrum del web fosc, on afirmava que tenia les dades personals de 2.900 milions de persones, segons la denúncia presentada dijous en el Tribunal de Districte dels Estats Units per al Districte Sud de Florida, que va dir que el grup va posar la base de dades a la venda per 3,5 milions de dòlars.

Els experts van assenyalar que esta filtració de dades podria ser una de les més grans de la història.

La base de dades pública nacional recopila dades de milers de milions de persones extraient la seua informació personal de fonts no públiques. El demandant i els membres del grup no van proporcionar la seua informació personal identificable al demandat a posta.

Els investigadors de VX-underground van analitzar l’arxiu (277,1 GB sense comprimir) i van confirmar que les dades són reals i precises. Els experts van observar que la base de dades no conté informació de persones que utilitzen servicis d’exclusió voluntària de dades. Es van trobar immediatament persones que no utilitzaven servicis d’exclusió voluntària de dades i que residien als Estats Units. L’arxiu també conté dades sobre persones mortes.

Referències

• • https://securityaffairs.com/166539/data-breach/personal-data-3-billion-people-data-breach.html

Introducció

Apple ha emés un avís de seguretat que destaca una vulnerabilitat crítica identificada com a CVE-2024-23296. Esta vulnerabilitat, juntament amb unes altres, ha sigut descoberta i reportada per investigadors de seguretat. L’explotació d’estes vulnerabilitats podria permetre un atacant accedir al sistema, modificar dades i executar codi maliciós, entre altres riscos.

Anàlisi

La vulnerabilitat crítica trobada és la següent:

CVE-2024-23296 – Escriptura fora de límits (CWE-787): Un problema de corrupció de memòria a causa d’una validació inadequada permet un atacant amb capacitat arbitrària de lectura i escriptura en el nucli (kernel) eludir les proteccions de memòria d’este. Esta fallada podria ser explotada per a accedir al sistema, modificar dades crítiques o executar codi maliciós. Apple ha informat que este problema pot haver sigut explotat activament.

La sèrie de productes afectats inclou:

• Apple iOS versions fins a 17.4
• Apple iPadOS versions fins a 17.4
• Apple macOS versions des de 14.0 fins a 14.4
• Apple tvOS versions fins a 17.4
• Apple visionOS versions fins a 1.1
• Apple watchOS versions fins a 10.4

Recomanacions

Per a mitigar els riscos associats amb esta vulnerabilitat, recomanem encaridament que actualitzeu a les versions més recents dels sistemes operatius afectats. Això assegurarà que les mesures de seguretat millorades i les correccions d’errors s’apliquen i protegixen, d’esta manera, els dispositius de possibles atacs.

Referències

• National Vulnerability Database
• Incibe