La CISA a ordonné aujourd’hui aux agences fédérales de corriger une faille d’escalade des privilèges du pilote du noyau GPU Arm Mali de haute gravité ajoutée à sa liste de vulnérabilités activement exploitées et résolue avec les mises à jour de sécurité Android de ce mois-ci.
La faille (suivie sous le nom de CVE-2021-29256) est une faiblesse d’utilisation après libération qui peut permettre aux attaquants d’accéder aux privilèges root ou d’accéder à des informations sensibles sur des appareils Android ciblés en permettant des opérations inappropriées sur la mémoire GPU.
« Un utilisateur non privilégié peut effectuer des opérations inappropriées sur la mémoire GPU pour accéder à la mémoire déjà libérée et peut être en mesure d’obtenir le privilège root et/ou de divulguer des informations », indique l’avis d’Arm.
« Ce problème est résolu dans Bifrost et Valhall GPU Kernel Driver r30p0 et corrigé dans la version Midgard Kernel Driver r31p0. Il est recommandé aux utilisateurs de mettre à niveau s’ils sont concernés par ce problème. »
Avec les mises à jour de sécurité de ce mois-ci pour le système d’exploitation Android, Google a corrigé deux autres failles de sécurité identifiées comme étant exploitées dans des attaques.
CVE-2023-26083 est une faille de fuite de mémoire de gravité moyenne dans le pilote de GPU Arm Mali exploitée en décembre 2022 dans le cadre d’une chaîne d’exploitation qui a fourni des logiciels espions aux appareils Samsung.
Une troisième vulnérabilité, identifiée comme CVE-2023-2136 et classée comme étant de gravité critique, est un bogue de débordement d’entier trouvé dans Skia de Google, une bibliothèque graphique 2D multiplateforme open source. Notamment, Skia est utilisé avec le navigateur Web Google Chrome, où il a été traité en avril comme un bogue zero-day.
Les agences fédérales ont reçu l’ordre de sécuriser les appareils Android dans les 3 semaines
Les agences fédérales américaines de la branche exécutive civile (FCEB) ont jusqu’au 28 juillet pour sécuriser leurs appareils contre les attaques ciblant la vulnérabilité CVE-2021-29256 ajoutée à la liste des vulnérabilités exploitées connues de la CISA aujourd’hui.
Selon la directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021, les agences fédérales sont tenues d’évaluer et de corriger en profondeur toutes les failles de sécurité décrites dans le catalogue KEV de CISA.
Bien que le catalogue se concentre principalement sur les agences fédérales américaines, il est également fortement recommandé aux entreprises privées de prioriser et de corriger toutes les vulnérabilités répertoriées dans le catalogue de CISA.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti aujourd’hui la CISA.
Plus tôt cette semaine, l’agence de cybersécurité a averti que les attaquants à l’origine de l’opération de malware TrueBot exploitent une vulnérabilité critique d’exécution de code à distance (RCE) dans le logiciel Netwrix Auditor pour un accès initial aux réseaux des cibles.
Une semaine plus tôt, la CISA avait également mis en garde contre des attaques par déni de service distribué (DDoS) ciblant des organisations américaines dans plusieurs secteurs industriels.