Project Zero, l’équipe de chasse aux bugs zero-day de Google, a découvert et signalé 18 vulnérabilités zero-day dans les chipsets Exynos de Samsung utilisés dans les appareils mobiles, les appareils portables et les voitures.
Les failles de sécurité du modem Exynos ont été signalées entre fin 2022 et début 2023. Quatre des dix-huit jours zéro ont été identifiés comme les plus graves, permettant l’exécution de code à distance d’Internet vers la bande de base.
Ces bogues d’exécution de code à distance (RCE) Internet vers bande de base (y compris CVE-2023-24033 et trois autres en attente d’un CVE-ID) permettent aux attaquants de compromettre les appareils vulnérables à distance et sans aucune interaction de l’utilisateur.
« Le logiciel de bande de base ne vérifie pas correctement les types de format de l’attribut accept-type spécifiés par le SDP, ce qui peut entraîner un déni de service ou l’exécution de code dans Samsung Baseband Modem », déclare Samsung dans un avis de sécurité décrivant le CVE-2023- 24033 vulnérabilité.
La seule information requise pour que les attaques soient menées à bien est le numéro de téléphone de la victime, selon Tim Willis, le chef de Project Zero.
Pour aggraver les choses, avec un minimum de recherches supplémentaires, des attaquants expérimentés pourraient facilement créer un exploit capable de compromettre à distance des appareils vulnérables sans attirer l’attention des cibles.
« En raison d’une combinaison très rare de niveau d’accès fourni par ces vulnérabilités et de la rapidité avec laquelle nous pensons qu’un exploit opérationnel fiable pourrait être conçu, nous avons décidé de faire une exception à la politique pour retarder la divulgation des quatre vulnérabilités qui permettent à Internet-to -exécution de code à distance en bande de base », a déclaré Willis.
Les 14 failles restantes (dont CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 et neuf autres en attente d’ID CVE) ne sont pas aussi critiques mais quand même présente un risque. L’exploitation réussie nécessite un accès local ou un opérateur de réseau mobile malveillant.
Sur la base de la liste des chipsets concernés fournie par Samsung, la liste des appareils concernés comprend, mais n’est probablement pas limitée à :
- Appareils mobiles de Samsung, y compris ceux des séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 et A04 ;
- Appareils mobiles de Vivo, y compris ceux des séries S16, S15, S6, X70, X60 et X30 ;
- Les séries d’appareils Pixel 6 et Pixel 7 de Google ;
- tous les appareils portables qui utilisent le chipset Exynos W920 ; et
- tous les véhicules qui utilisent le chipset Exynos Auto T5123.
Solution de contournement disponible pour les appareils concernés
Bien que Samsung ait déjà fourni des mises à jour de sécurité corrigeant ces vulnérabilités dans les chipsets concernés à d’autres fournisseurs, les correctifs ne sont pas publics et ne peuvent pas être appliqués par tous les utilisateurs concernés.
Le calendrier des correctifs de chaque fabricant pour leurs appareils sera différent, mais, par exemple, Google a déjà traité CVE-2023-24033 pour les appareils Pixel concernés dans ses mises à jour de sécurité de mars 2023.
Cependant, jusqu’à ce que des correctifs soient disponibles, les utilisateurs peuvent contrecarrer les tentatives d’exploitation RCE en bande de base ciblant les chipsets Exynos de Samsung dans leur appareil en désactivant les appels Wi-Fi et la voix sur LTE (VoLTE) pour supprimer le vecteur d’attaque.
Samsung a également confirmé la solution de contournement de Project Zero, affirmant que « les utilisateurs peuvent désactiver les appels WiFi et VoLTE pour atténuer l’impact de cette vulnérabilité ».
« Comme toujours, nous encourageons les utilisateurs finaux à mettre à jour leurs appareils dès que possible, pour s’assurer qu’ils exécutent les dernières versions qui corrigent les vulnérabilités de sécurité divulguées et non divulguées », a ajouté Willis.