CISA a ordonné aujourd’hui aux agences fédérales américaines de corriger une vulnérabilité critique de Samsung qui a été exploitée dans des attaques zero-day pour déployer des logiciels espions LandFall sur des appareils exécutant WhatsApp.
Suivi comme CVE-2025-21042, cette faille de sécurité en écriture hors limites a été découverte dans Samsung libimagecodec.quram.so bibliothèque, permettant aux attaquants distants d’obtenir l’exécution de code sur les appareils exécutant Android 13 et versions ultérieures.
Alors que Samsung l’a corrigé en avril à la suite d’un rapport des équipes de sécurité de Meta et WhatsApp, l’unité 42 de Palo Alto Networks a révélé la semaine dernière que des attaquants l’exploitaient depuis au moins juillet 2024 pour déployer des logiciels espions auparavant inconnus via des images DNG malveillantes envoyées sur WhatsApp.
Le logiciel espion est capable d’accéder à l’historique de navigation de la victime, d’enregistrer les appels et l’audio, de suivre sa localisation, ainsi que d’accéder aux photos, contacts, SMS, journaux d’appels et fichiers.
Selon l’analyse de l’Unité 42, il cible une large gamme de modèles phares de Samsung, y compris les appareils des séries Galaxy S22, S23 et S24, ainsi que les Z Fold 4 et Z Flip 4.
Les données provenant d’échantillons VirusTotal examinés par les chercheurs de l’Unité 42 montrent des cibles potentielles en Irak, en Iran, en Turquie et au Maroc, tandis que l’infrastructure du domaine C2 et les schémas d’enregistrement partagent des similitudes avec ceux observés dans les opérations de Faucon furtif, originaires des Émirats arabes Unis.
Un autre indice est l’utilisation du nom » Bridge Head » pour le composant de chargement de logiciels malveillants, une convention de dénomination couramment observée dans les logiciels espions commerciaux développés par NSO Group, Variston, Cytrox et Quadream. Cependant, LandFall ne pouvait pas être lié en toute confiance à des fournisseurs de logiciels espions ou à des groupes de menaces connus.
CISA a maintenant ajouté la faille CVE-2025-21042 à son catalogue de vulnérabilités exploitées connues, qui répertorie les bogues de sécurité signalés comme activement exploités dans les attaques, ordonnant aux agences de la Branche Exécutive Civile fédérale (FCEB) de sécuriser leurs appareils Samsung contre les attaques en cours dans les trois semaines, jusqu’au 1er décembre, comme mandaté par la Directive opérationnelle contraignante (BOD) 22-01.
Les agences FCEB sont des agences non militaires au sein de la branche exécutive des États-Unis, y compris le Département de l’Énergie, le Département du Trésor, le Département de la Sécurité intérieure et le Département de la Santé et des Services sociaux.
Bien que cette directive opérationnelle contraignante ne s’applique qu’aux agences fédérales, la CISA a exhorté toutes les organisations à donner la priorité à la correction de cette faille de sécurité dès que possible.
« Ce type de vulnérabilité est un vecteur d’attaque fréquent pour les cyberacteurs malveillants et présente des risques importants pour l’entreprise fédérale », a-t-il averti.
« Appliquez des mesures d’atténuation conformément aux instructions du fournisseur, suivez les directives applicables de la DBO 22-01 pour les services cloud ou arrêtez d’utiliser le produit si les mesures d’atténuation ne sont pas disponibles », a ajouté l’agence de cybersécurité.
En septembre, Samsung a publié des mises à jour de sécurité pour corriger un autre libimagecodec.quram.so faille (CVE-2025-21043) qui a été exploitée dans des attaques zero-day ciblant ses appareils Android.