NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden ontdekt in mobiele devices met Samsung
                  Exynos Modem
Advisory ID     : NCSC-2023-0141
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2023-24033, CVE-2023-26072, CVE-2023-26073,
                  CVE-2023-26074, CVE-2023-26075, CVE-2023-26076
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Administrator/Root rechten)
Uitgiftedatum   : 20230321
Toepassing      : Samsung Mobile
                  Vivo Mobile
                  Google Pixel
Versie(s)       :
Platform(s)     :

Update
   In de Samsung Security & Management Release van maart zijn de
   kwetsbaarheden met kenmerk CVE-2023-26072, CVE-2023-26073,
   CVE-2023-26074, CVE-2023-26075 en CVE-2023-26076 verholpen.

Beschrijving
   Google Project Zero heeft veertien kwetsbaarheden ontdekt in Samsung
   Exynos Modems. Deze modems worden in elk geval gebruikt in de
   volgende mobiele devices:

   Samsung: S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 en A04
   Vivo: S16, S15, S6, X70, X60 en X30
   Google: Pixel 6 en Pixel 7

   Het is mogelijk dat meer systemen gebruik maken van de kwetsbare
   chipset zijnde: Exynos Auto T5123 chipset. Raadpleeg hiervoor de
   systeeminformatie van het mobiele device.

   De ernstigste kwetsbaarheid heeft kenmerk CVE-2023-24033 gekregen en
   stelt een kwaadwillende in staat om willekeurige code uit te voeren
   op het mobiele device. Het enige dat de kwaadwillende nodig heeft is
   het telefoonnummer. Er is geen interactie benodigd met de gebruiker.
   Er is verder geen inhoudelijke informatie bekend gesteld.

   Voor misbruik van de overige bekend gestelde kwetsbaarheden is het
   nodig dat de kwaadwillende lokale toegang tot het device heeft, of
   het slachtoffer communiceert via een malafide provider.

   Van de overige kwetsbaarheden is geen CVE-ID bekend gesteld of
   inhoudelijke informatie beschikbaar, omdat deze nog in de termijn
   van 90 dagen zitten voor wat betreft Responsible Disclosure.

Mogelijke oplossingen
   In afwachting van de updates voor de diverse getroffen mobile
   devices is een workaround beschikbaar om de dreiging te mitigeren.
   Het advies is om telefonie over Wi-Fi en Voice-over-LTE (VoLTE) uit
   te schakelen. Raadpleeg hiervoor de documentatie van het specifieke
   device. Voor meer informatie, zie:

   https://googleprojectzero.blogspot.com/2023/03
      /multiple-internet-to-baseband-remote-rce.html

   Het NCSC houdt de ontwikkelingen in de gaten en werkt dit
   beveiligingsadvies bij wanneer relevante informatie beschikbaar
   komt.

   -= Google =-
   Google heeft updates uitgebracht voor de Pixel 6 en 7 om de
   kwetsbaarheid met kenmerk CVE-2023-24033 te verhelpen. Voor meer
   informatie zie:

   https://source.android.com/docs/security/bulletin/pixel/2023-03-01

   -= Samsung =-
   Samsung heeft updates uitgebracht om de kwetsbaarheden met kenmerk
   CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 en
   CVE-2023-26076 te verhelpen in de getroffen Samsung Mobile Devices.
   Voor meer informatie zie:

   https://security.samsungmobile.com/securityUpdate.smsb

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=MGVH
-----END PGP SIGNATURE-----