سوءاستفاده‌ی فعال از آسيب‌پذيری روزصفرم CVE-2019-2215

سوءاستفاده‌ی فعال از آسيب‌پذيری روزصفرم CVE-2019-2215

تاریخ ایجاد

برای اولین بار از یک #‫آسیب‌‌پذیری استفاده پس از آزادسازی #(use-after-free) به‌طور گسترده در حملات استفاده شده است. این آسیب‌پذیری که با شناسه‌ی CVE-2019-2215 ردیابی می‌شود در ماه اکتبر سال 2019 توسط محققان Google Project Zero به عنوان یک آسیب‌پذیری روزصفرم افشا شد. این نقص ابتدا در ماه دسامبر سال 2017 در هسته‌ی Linux 4.14، هسته‌ی 3.18 پروژه‌ی متن‌باز اندروید (AOSP)، هسته‌ی AOSP 4.4 و هسته‌ی AOSP 4.9 برطرف شده بود. دو سال بعد، این آسیب‌پذیری همچنان Pixel 2؛ Pixel 1؛ Huawei P20؛ Xiaomi Redmi 5A؛ Redmi Note 5 و A1؛ Oppo A3؛ گوشی‌های LG دارای اندروید Oreo و گوشی‌های سامسونگ مدل‌های Galaxy S7,S8 و S9 را تحت‌تأثیر قرار می‌داد.
گوگل وصله‌هایی برای این نقص در مجموعه اصلاحات اندرویدی ماه اکتبر سال 2019 منتشر ساخت.
بنا به اطلاعات جمع‌آوری شده توسط کارشناسان، از این آسیب‌پذیری سوءاستفاده شده است. این آسیب‌پذیری توسط شرکت باج‌افزاری اسرائیل، NSO (معروف به ساختن بدافزار iOS مشهور Pegasus) سوءاستفاده شده است و از آن برای نصب یک نسخه از Pegasus سوءاستفاده می‌کند.
اکنون محققان دریافته‌اند سه برنامه‌ی مخرب که از ماه مارس سال 2019 در فروشگاه Google Play در دسترس بوده است، به‌منظور به خطر انداختن دستگاه کاربر و جمع‌آوری اطلاعات با هم کار می‌کنند. یکی از این برنامه‌ها که Camero نامیده می‌شود از آسیب‌پذیری CVE-2019-2215 سوءاستفاده می‌کند. این آسیب‌پذیری در Binder (اصلی‌ترین سیستم ارتباطی درون‌فرایندی اندروید) وجود دارد. بررسی‌های بیشتر نشان می‌دهد که هر سه‌ی این برنامه‌ها مربوط به گروه تهدید SideWinder (فعالیت خود را از سال 2012 آغاز کرده و ماشین‌های ویندوزی موجودیت‌های ارتش را هدف قرار می‌دهد) هستند. این سه برنامه از این جهت به گروه SideWinder نسبت داده شده‌اند که به نظر می‌رسد کارگزارهای C&C استفاده شده مربوط به بخشی از ساختار SideWinder باشند. علاوه‌براین، یک URL که به یکی از صفحات Google Play این برنامه‌ها لینک می‌خورد نیز در یکی از این کارگزارهای C&C یافت شده است.

دانلود پیوست

برچسب‌ها