米国のサイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) は本日、中国の電子商取引アプリ Pinduoduo によって、そのユーザーをスパイするためのゼロデイとして悪用されたと考えられる深刻な Android の脆弱性について警告しました。
この Android フレームワークのセキュリティ上の欠陥 ( CVE-2023-20963として追跡) により、攻撃者はユーザーの操作を必要とせずに、パッチが適用されていない Android デバイスで権限を昇格できます。
「Android フレームワークには特定されていない脆弱性が含まれており、追加の実行権限を必要とせずにアプリをより高い Target SDK に更新した後、権限昇格が可能になります」と CISA は説明しています。
Google は 3 月上旬にリリースされたセキュリティ アップデートのバグに対処し、「CVE-2023-20963 が限定的な標的型攻撃を受けている可能性があることを示す兆候がある」 と述べました。
3 月 21 日、Google は、中国のオンライン小売大手 Pinduoduo (月間アクティブ ユーザー数が7 億 5000 万人を超えると主張している) の公式ショッピング アプリを Play ストアから停止しました。これは、アプリの Play 以外のバージョンでマルウェアを発見し、有害なアプリとしてタグ付けしたためです。データやデバイスへの「不正アクセス」を許可する可能性があることをユーザーに警告します。
数日後、Kaspersky の研究者は、Android の脆弱性 ( Ars Technicaによるとそのうちの 1 つ) を悪用し、ユーザーをスパイするように設計された追加モジュールをインストールするアプリのバージョンを発見したことも明らかにしました。
カスペルスキーのセキュリティ研究者である Igor Golovin 氏はBloomberg に次のように述べています。
連邦政府機関は 3 週間以内にパッチを当てるよう命じた
米国連邦民間行政機関 (FCEB) 機関は、5 月 4 日までに、CISA が木曜日に既知の悪用された脆弱性のリストに追加した CVE-2023-20963 脆弱性からデバイスを保護する必要があります。
2021 年 11 月の拘束力のある運用指令(BOD 22-01) によると、連邦機関は、CISA の KEV カタログに含まれるすべてのセキュリティ上の欠陥について、ネットワークをチェックして修正する必要があります。
カタログが主に米国連邦機関を対象としている場合でも、民間企業も CISA のカタログの脆弱性を優先的に扱うことを強くお勧めします。
「これらのタイプの脆弱性は、悪意のあるサイバー アクターによる頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と、米国のサイバーセキュリティ機関は述べています。
月曜日、CISA はまた、5 月 1 日までにゼロデイ攻撃として実際に悪用された 2 つのセキュリティ脆弱性に対して、iPhone と Mac にパッチを適用するよう連邦政府機関に命じました。
Comments