NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden ontdekt in mobiele devices met Samsung
                  Exynos Modem
Advisory ID     : NCSC-2023-0141
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2023-24033, CVE-2023-26072, CVE-2023-26073,
                  CVE-2023-26074, CVE-2023-26075, CVE-2023-26076
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Administrator/Root rechten)
Uitgiftedatum   : 20230317
Toepassing      : Samsung Mobile
                  Vivo Mobile
                  Google Pixel
Versie(s)       :
Platform(s)     :

Beschrijving
   Google Project Zero heeft veertien kwetsbaarheden ontdekt in Samsung
   Exynos Modems. Deze modems worden in elk geval gebruikt in de
   volgende mobiele devices:

   Samsung: S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 en A04
   Vivo: S16, S15, S6, X70, X60 en X30
   Google: Pixel 6 en Pixel 7

   Het is mogelijk dat meer systemen gebruik maken van de kwetsbare
   chipset zijnde: Exynos Auto T5123 chipset. Raadpleeg hiervoor de
   systeeminformatie van het mobiele device.

   De ernstigste kwetsbaarheid heeft kenmerk CVE-2023-24033 gekregen en
   stelt een kwaadwillende in staat om willekeurige code uit te voeren
   op het mobiele device. Het enige dat de kwaadwillende nodig heeft is
   het telefoonnummer. Er is geen interactie benodigd met de gebruiker.
   Er is verder geen inhoudelijke informatie bekend gesteld.

   Voor misbruik van de overige bekend gestelde kwetsbaarheden is het
   nodig dat de kwaadwillende lokale toegang tot het device heeft, of
   het slachtoffer communiceert via een malafide provider.

   Van de overige kwetsbaarheden is geen CVE-ID bekend gesteld of
   inhoudelijke informatie beschikbaar, omdat deze nog in de termijn
   van 90 dagen zitten voor wat betreft Responsible Disclosure.

Mogelijke oplossingen
   De betreffende vendors hebben (nog) geen updates uitgebracht om de
   kwetsbaarheden te verhelpen in Exynos Auto T5123 chipset. Wel heeft
   het Google Project Zero een workaround vrijgegeven om de dreiging
   weg te nemen in afwachting van updates.

   Het advies is om telefonie over Wi-Fi en Voice-over-LTE (VoLTE) uit
   te schakelen. Raadpleeg hiervoor de documentatie van het specifieke
   device. Voor meer informatie, zie:

   https://googleprojectzero.blogspot.com/2023/03
      /multiple-internet-to-baseband-remote-rce.html


   Het NCSC houdt de ontwikkelingen in de gaten en werkt dit
   beveiligingsadvies bij wanneer relevante informatie beschikbaar
   komt.

   -= Google =-
   Google heeft updates uitgebracht voor de Pixel 6 en 7 om de
   kwetsbaarheid met kenmerk CVE-2023-24033 te verhelpen. Voor meer
   informatie zie:

   https://source.android.com/docs/security/bulletin/pixel/2023-03-01

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=3PjP
-----END PGP SIGNATURE-----