Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило предписание о необходимости срочно устранить уязвимость в ПО Samsung, используемом на устройствах правительственных учреждений и организаций. Речь идет об уязвимости CVE-2025-21042 на устройствах Samsung, использующих мессенджер WhatsApp. Это уязвимость, позволяющая запись за пределами выделенного участка памяти (out-of-bounds write), что открывает возможность исполнения произвольного кода на устройствах, использующих версии ОС Android 13 и выше.

Компания Samsung исправила уязвимость еще в апреле нынешнего года, после того как о ней сообщили специалисты WhatsApp и компании Meta*. Однако по данным исследователей Palo Alto Networks она использовалась в атака как минимум с июля прошлого года и используется по сей день, поскольку далеко не все владельцы устройств потрудились установить выпущенное Samsung обновление безопасности.

Уязвимость используется для рассылки в WhatsApp вредоносных файлов изображений формата DNG. При их открытии на устройства пользователей устанавливается ранее неизвестное шпионское ПО LandFall. Это мощный зловред, способный отслеживать геопозицию пользователя, записывать его разговоры и получающий доступ к истории браузера, звонков, фотографиям, контактам, текстовым сообщениям и файлам. По данным Palo Alto Networks, в числе уязвимых устройств - широкий спектр флагманских моделей Samsung, включая Galaxy S22, S23 и S24, а также Z Fold 4 и Z Flip 4. Судя по географии атак, в зоне особого риска - пользователи из Ирака, Ирана, Марокко и Турции, а характерные паттерны регистрации доменов для командных серверов и ряд других деталей позволяют предположить, что за атакой могут стоять хакеры из ОАЭ, хотя пока это лишь догадки.

Документ CISA предписывает до 1 декабря обновить ПО и устранить уязвимость всем федеральным агентствам и организациям, занимающимся гражданскими вопросами и исполнением законов (Federal Civilian Executive Branch).

В их число входят Исполнительный аппарат президента, Министерства финансов, здравоохранения, энергетики, внутренней безопасности и многие другие структуры. Впрочем, специалисты CISA подчеркивают, что уязвимость является весьма опасной и настаивают на том, чтобы все без исключения организации устранили ее как можно быстрее.

*признана экстремистской организацией и запрещена в РФ