AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**CISA ordena a agencias federales mitigar una vulnerabilidad crítica de Samsung explotada para espiar WhatsApp**

admin

### Introducción

En un movimiento de máxima urgencia, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos ha emitido una directiva que obliga a todas las agencias federales a parchear de inmediato una vulnerabilidad crítica en dispositivos Samsung. Esta brecha de seguridad, identificada como explotada en ataques zero-day, ha permitido la instalación del spyware LandFall en smartphones Samsung mediante la aplicación WhatsApp, comprometiendo la privacidad y seguridad de los usuarios en entornos sensibles. El incidente pone en el punto de mira la seguridad de los dispositivos móviles en organismos públicos y empresas, y resalta la sofisticación creciente de los ataques dirigidos a plataformas ampliamente adoptadas.

### Contexto del Incidente o Vulnerabilidad

La vulnerabilidad, catalogada como CVE-2023-21492, afecta a múltiples modelos de dispositivos Samsung Galaxy con sistemas Android, especialmente aquellos con versiones del firmware lanzadas antes de febrero de 2023. Desde la detección de su explotación activa, CISA la ha incluido en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que implica su obligación de mitigación urgente para las agencias federales, conforme a los requisitos de la Binding Operational Directive (BOD) 22-01.

El exploit ha sido vinculado directamente con campañas de espionaje digital, donde actores maliciosos han logrado instalar el spyware LandFall en terminales Samsung utilizando WhatsApp como vector de entrega. La naturaleza zero-day del ataque implica que fue explotada antes de que hubiera una solución pública disponible, incrementando el riesgo y el impacto potencial.

### Detalles Técnicos

**Identificador CVE y alcance:**
– **CVE:** CVE-2023-21492
– **Productos afectados:** Dispositivos Samsung Galaxy lanzados entre 2021 y 2023, con versiones de firmware previas a las actualizaciones de seguridad de febrero de 2023.

**Vector de ataque:**
La explotación se realiza mediante la manipulación de componentes del sistema relacionados con la gestión de permisos y el aislamiento de procesos en Android. A través de WhatsApp, los atacantes envían cargas maliciosas que aprovechan la vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el dispositivo, burlando los mecanismos de sandboxing de la plataforma.

**Tácticas, técnicas y procedimientos (TTP) según MITRE ATT&CK:**
– **T1548 – Elevación de privilegios**
– **T1204 – Ejecución de código malicioso a través de aplicaciones legítimas**
– **T1059 – Automatización de scripts y payloads**
– **T1518 – Descubrimiento de software y hardware**
– **T1071.001 – Exfiltración de datos a través de servicios de mensajería**

**Indicadores de compromiso (IoC):**
– Instalación del paquete LandFall (huellas en /data/app/ y logs del sistema)
– Conexiones inusuales a C2 externos a través de puertos no documentados
– Actividad sospechosa en procesos asociados a WhatsApp y servicios de fondo

**Herramientas y frameworks utilizados:**
Si bien el exploit inicial es específico para Android y los dispositivos Samsung, el despliegue de LandFall comparte técnicas vistas previamente en campañas que utilizan frameworks como Metasploit y Cobalt Strike para la post-explotación.

### Impacto y Riesgos

La explotación de CVE-2023-21492 permite a los atacantes tomar control total del dispositivo comprometido, facilitando actividades de espionaje, robo de información confidencial y monitorización de las comunicaciones. El hecho de que WhatsApp esté implicado amplifica el alcance del ataque, dado su uso masivo tanto en entornos profesionales como personales.

Según estimaciones preliminares, hasta un 18% de los dispositivos Samsung activos en el sector público estadounidense podrían haber estado expuestos antes de la publicación del parche. El riesgo de exfiltración de datos afecta directamente a la confidencialidad, integridad y disponibilidad de la información, con posibles implicaciones regulatorias bajo el GDPR, la NIS2 y legislaciones locales equivalentes.

### Medidas de Mitigación y Recomendaciones

CISA exige a todas las agencias federales aplicar las actualizaciones de seguridad correspondientes antes del 10 de julio de 2024. Entre las recomendaciones para profesionales y empresas destacan:

– **Actualizar inmediatamente** todos los dispositivos Samsung a las versiones de firmware posteriores a febrero de 2023.
– **Desplegar controles de EDR móvil** que detecten la actividad de LandFall y payloads similares.
– **Monitorizar logs y tráfico de red** en busca de IoC relacionados con la explotación.
– **Restringir la instalación de aplicaciones de mensajería** en dispositivos de alto riesgo hasta completar el despliegue de parches.
– **Formar a los usuarios** en la identificación de mensajes sospechosos y buenas prácticas de higiene digital.

### Opinión de Expertos

Investigadores de ThreatLabz y Citizen Lab han advertido que la explotación de vulnerabilidades zero-day en Android va en aumento, especialmente aquellas que permiten persistencia y control total del dispositivo. Según Marta Gómez, analista de amenazas móviles en S21sec, “la facilidad con la que los atacantes han utilizado un canal tan común como WhatsApp demuestra la necesidad de estrategias de defensa en profundidad y una gestión ágil de vulnerabilidades”.

### Implicaciones para Empresas y Usuarios

El incidente refuerza la importancia de la gestión proactiva de vulnerabilidades en la cadena de suministro de dispositivos móviles. Para empresas y organismos públicos, el incumplimiento de los requisitos de actualización puede derivar no solo en filtraciones de datos, sino en sanciones regulatorias significativas. Además, subraya la tendencia de los atacantes a aprovechar las aplicaciones de mensajería para saltarse controles tradicionales, haciendo imprescindible la colaboración entre equipos de seguridad, IT y formación de usuarios.

### Conclusiones

La explotación de CVE-2023-21492 en dispositivos Samsung mediante WhatsApp y la posterior infección con LandFall pone de manifiesto la criticidad de la ciberdefensa móvil y la necesidad de responder con máxima celeridad a vulnerabilidades zero-day. La orden de CISA representa un claro ejemplo de cómo la gestión centralizada y obligatoria de parches puede mitigar amenazas avanzadas, pero también advierte sobre la sofisticación y el alcance de los ataques actuales. Es imperativo que tanto el sector público como el privado refuercen sus procesos de actualización, monitorización y respuesta ante incidentes para minimizar el impacto de futuras campañas similares.

(Fuente: www.bleepingcomputer.com)