Vulnerabilidades 0day en chipsets Exynos de Samsung

Fecha de publicación 17/03/2023
Importancia
5 - Crítica
Recursos Afectados

Entre los modelos de chipsets Exynos afectados se encuentran:

  • Exynos 850,
  • Exynos 980,
  • Exynos 1080,
  • Exynos 1280,
  • Exynos 2200,
  • Exynos Modem 5123,
  • Exynos Modem 5300,
  • Exynos Auto T5123.

Según la información obtenida y recopilada por Project Zero de webs públicas que asignan chipsets a dispositivos, entre los productos potencialmente afectados se encuentran:

  • dispositivos móviles Samsung, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04;
  • dispositivos móviles de Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30;
  • dispositivos de las series Pixel 6 y 7 de Google;
  • cualquier wearable que utilice el chipset Exynos W920;
  • cualquier vehículo que utilice el chipset Exynos Auto T5123.
Descripción

Project Zero, el equipo interno especializado en seguridad de Google, ha publicado 18 de vulnerabilidades 0day en los módems Samsung Exynos, siendo las 4 de mayor severidad las que permiten realizar una ejecución remota de código (RCE), mientras que las 14 restantes requieren acceso local al dispositivo por parte del atacante.

Solución

Se recomienda contactar con cada Product Manager de Samsung, según el producto afectado, y actualizar los dispositivos afectados lo antes posible.

Para los dispositivos Pixel afectados, Google ya ha corregido una de las vulnerabilidades en su boletín de marzo 2023.

Detalle
  • Las 4 vulnerabilidades con mayor severidad (CVE-2023-24033 y otras 3 sin CVE asignado aún) podrían permitir la ejecución remota de código de Internet a banda base. Las pruebas realizadas por Project Zero confirman que esas 4 vulnerabilidades permiten a un atacante comprometer remotamente un dispositivo a nivel de banda base sin interacción del usuario, y sólo requieren que el atacante conozca el número de teléfono de la potencial víctima.
  • Las 14 vulnerabilidades restantes de menor severidad (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076, CVE-2023-26496, CVE-2023-26497, CVE-2023-26498 y otras 6 sin CVE asignado aún) requieren acceso local al dispositivo afectado por parte de un operador de red móvil malintencionado o un atacante para poder explotarlas. Las 5 vulnerabilidades con CVE asignado son de tipo desbordamiento de búfer y se producen por una validación incorrecta de parámetros.

Encuesta valoración

Listado de referencias
Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems
Product Security Update March 2023
Etiquetas