Qualcomm Alerted to Possible Zero-Day Exploited in Targeted Attacks
2024/10/08 SecurityWeek — 10月7日 (月) に Qualcomm が公開したのは 、自社製品で発見/修正された 20件の脆弱性に関するセキュリティ・アドバイザリであり、その中にはゼロデイと思われるものも含まれている。そのゼロデイの可能性がある脆弱性について Qualcomm は、「Google Threat Analysis Group から、限定的な標的化攻撃において、脆弱性 CVE-2024-43047 が悪用されている可能性があるとの報告を受けている」と述べている。
Qualcomm のアドバイザリによると、脆弱性 CVE-2024-43047 は、DSP サービスにおける深刻度の高い use-after-free の欠陥だと説明されている。
この脆弱性を発見したとされる Google Project Zero の研究者 Seth Jenkins は、Amnesty International と Google TAG (Threat Analysis Group) が、潜在的な悪用の証拠を発見したと述べている。
この研究者は、「Android デバイスにおける Qualcomm のバグが、迅速に修正されることを期待している」と述べている。 Android のセキュリティ情報が 2024年10月7日 (月) に公開されたが、脆弱性 CVE-2024-43047 については触れられていない。
その一方で、CVE-2024-43047 を悪用したとされる、攻撃に関する情報は共有されていない。ただし、Google と Amnesty の代表者により報告されたという事実が示唆するのは、Android デバイスが商用スパイウェアより悪用された可能性が高いということだ。
Qualcomm によると、脆弱性 CVE-2024-43047 が影響を及ぼす対象は、FastConnect/QCA/QCS/Video Collaboration/SA/SD/SG/Snapdragon/SW/SXR/WCD/WCN/WSA シリーズ製品を含む、60 種類を超えるチップセットとなる。
この脆弱性は、7月下旬に Qualcomm に報告され、最近になってパッチが適用されたが、パッチがエンドユーザーのデバイスに届くまでに相当の時間を要するとされ、また、定期的なアップデートの対象とならないシステムでは、修正を受け取ることができない。
Qualcomm チップセットの脆弱性が、攻撃に悪用されることは珍しいことではない。CISA KEV カタログのデータによると、今回の脆弱性は、2021年以降に発見された Qualcomm の 8番目の悪用された欠陥となる。
Qualcomm のチップセットに存在する脆弱性が悪用されたとのことですが、報告元に Amnesty が入っているところがポイントなのでしょう。文中でも指摘されているように、サイバー・スパイの可能性が高いと推測されます。また、Google TAG が指摘しているように、Android デバイスへの修正の反映までには、時間が掛かると思われます。よろしければ、Android で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.