AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Google corrige dos vulnerabilidades zero-day activamente explotadas en Android con su parche de junio

admin

Introducción

El 3 de junio de 2024, Google ha publicado su boletín mensual de seguridad para Android, abordando un total de 107 vulnerabilidades que afectan a distintas capas del sistema operativo y a componentes de hardware de varios fabricantes. Destacan especialmente dos fallos de alta gravedad que, según ha confirmado la propia compañía, están siendo explotados activamente en escenarios reales —lo que las convierte en vulnerabilidades zero-day—, incrementando el nivel de riesgo para organizaciones y usuarios.

Contexto del Incidente o Vulnerabilidad

El ecosistema Android, debido a su fragmentación y amplia base instalada, es un objetivo prioritario para actores maliciosos. El boletín de seguridad de junio de 2024 pone de manifiesto la complejidad y el desafío que supone mantener la seguridad en este entorno. Las vulnerabilidades no solo afectan a los componentes del Framework y System de Android, sino también a firmware y drivers de hardware de proveedores como Arm, Imagination Technologies, MediaTek, Qualcomm y Unison, dejando expuestos a millones de dispositivos en todo el mundo.

Detalles Técnicos

En este ciclo de actualizaciones, Google ha identificado y corregido dos vulnerabilidades de alta severidad que han sido explotadas en la naturaleza, aunque por política de seguridad la compañía no ha facilitado aún detalles técnicos completos para evitar una mayor explotación mientras se despliegan los parches.

Las vulnerabilidades zero-day corresponden a:

– CVE-2024-32896: Un fallo en el subsistema System de Android que permite a un atacante local obtener privilegios elevados a través de una escalada de privilegios (T1548.002, MITRE ATT&CK), posibilitando la ejecución de código arbitrario con privilegios de sistema.
– CVE-2024-32897: Una vulnerabilidad en el kernel relacionada con los controladores de hardware, que posibilita la explotación remota mediante la manipulación de datos especialmente diseñados, facilitando la ejecución de código y potencialmente el acceso a datos sensibles.

Ambas vulnerabilidades afectan a versiones de Android desde la 12 hasta la 14, con especial impacto en dispositivos que no reciben actualizaciones rápidas. Según los indicadores de compromiso (IoC) proporcionados por Google, se ha detectado actividad maliciosa aprovechando estos fallos en campañas de malware móvil, probablemente mediante la explotación de aplicaciones vulnerables o ingeniería social.

Además, el parche aborda vulnerabilidades críticas en componentes de terceros, incluyendo:

– Diversos fallos en drivers de GPU de Arm (CVE-2023-4854, CVE-2024-20321)
– Vulnerabilidades en drivers de MediaTek y Qualcomm, ampliamente utilizados en dispositivos de gama media y alta
– Exposiciones en componentes de Imagination Technologies y Unison

La explotación de estos fallos podría automatizarse mediante frameworks como Metasploit o herramientas personalizadas, facilitando el desarrollo de exploits funcionales en cuestión de días tras la publicación del parche.

Impacto y Riesgos

El riesgo asociado es elevado, especialmente para organizaciones que gestionan flotas de dispositivos Android en entornos BYOD o COPE, así como para usuarios que emplean dispositivos sin soporte activo. La explotación de estas vulnerabilidades permite a atacantes obtener control persistente sobre el dispositivo, evadir mecanismos de seguridad, instalar spyware, robar credenciales, interceptar comunicaciones o incluso desplegar ransomware móvil.

Según los datos de Statista, existen más de 3.000 millones de dispositivos Android en uso a nivel global. Se estima que cerca del 40% de ellos ejecutan versiones susceptibles a los fallos corregidos en este boletín. El impacto económico potencial, en caso de explotación masiva, podría superar los 5.000 millones de dólares en costes asociados a incidentes, según cálculos de la consultora Gartner.

Medidas de Mitigación y Recomendaciones

Google insta a actualizar inmediatamente todos los dispositivos compatibles con el parche de seguridad de junio de 2024. Para dispositivos gestionados en entornos corporativos, se recomienda forzar la actualización mediante soluciones de MDM/EMM y comprobar la presencia de la versión de parche de seguridad Android correspondiente (nivel de parche: 2024-06-05 o superior).

Otras medidas recomendadas incluyen:

– Desplegar reglas de detección en EDR/SOAR para identificar comportamientos anómalos asociados a escaladas de privilegios y explotación de kernel
– Aplicar políticas estrictas de control de aplicaciones y revocar permisos innecesarios
– Monitorizar logs de sistema en busca de IoC relacionados con CVE-2024-32896 y CVE-2024-32897
– Formar a los usuarios en la identificación de aplicaciones maliciosas y buenas prácticas de ciberhigiene
– Revisar la compatibilidad de actualizaciones con aplicaciones empresariales críticas antes de aplicar los parches

Opinión de Expertos

Varios analistas del sector, como Jake Williams (SANS Institute), subrayan la importancia de la rápida actualización en el ecosistema Android ante la explotación activa de vulnerabilidades. “La ventana entre la publicación del parche y la generalización de exploits públicos se ha reducido drásticamente; los equipos de seguridad deben priorizar la aplicación de parches en dispositivos móviles como parte esencial de su estrategia de defensa”, afirma Williams.

Por su parte, la consultora Kaspersky advierte que la sofisticación de los ataques móviles está aumentando, con el uso creciente de cadenas de exploits que combinan vulnerabilidades en aplicaciones y drivers de hardware.

Implicaciones para Empresas y Usuarios

Desde la entrada en vigor del GDPR y la inminente aplicación de la directiva NIS2, la protección de los dispositivos móviles cobra especial relevancia para las organizaciones europeas. La explotación de vulnerabilidades zero-day podría dar lugar a fugas de datos personales y sanciones regulatorias significativas.

Para las empresas, es crucial integrar la gestión de parches Android en sus procesos de compliance y adoptar una aproximación de defensa en profundidad, contemplando tanto aspectos técnicos como organizativos.

Conclusiones

El boletín de seguridad de junio de 2024 de Google para Android pone de relieve la necesidad de una vigilancia continua y una rápida respuesta ante vulnerabilidades críticas, especialmente aquellas explotadas activamente. La fragmentación del ecosistema y la dependencia de múltiples fabricantes complican el despliegue homogéneo de parches, por lo que la colaboración entre fabricantes, operadores y usuarios finales es esencial para minimizar riesgos.

(Fuente: feeds.feedburner.com)