ZEN SecDBNov 10

šŸšØ [CISA-2025:1110] CISA Adds One Known Exploited Vulnerability to Catalog (https://secdb.nttzen.cloud/security-advisory/detail/CISA-2025:1110)

CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation. These types of vulnerabilities are a frequent attack vector for malicious cyber actors and pose significant risk to the federal enterprise.

āš ļø CVE-2025-21042 (https://secdb.nttzen.cloud/cve/detail/CVE-2025-21042)
- Name: Samsung Mobile Devices Out-of-Bounds Write Vulnerability
- Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
- Known To Be Used in Ransomware Campaigns? Unknown
- Vendor: Samsung
- Product: Mobile Devices
- Notes: https://security.samsungmobile.com/securityUpdate.smsb?year=2025&month=04 ; https://nvd.nist.gov/vuln/detail/CVE-2025-21042

#SecDB #InfoSec #CVE #CISA_KEV #cisa_20251110 #cisa20251110 #cve_2025_21042 #cve202521042

[CISA-2025:1110] CISA Adds One Known Exploited Vulnerability to Catalog - Advisory | ZEN SecDB Portal

CISA-2025:1110 - CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation. These types...

ZEN SecDB Portal
The DefendOps DiariesNov 10

A single image on WhatsApp turned a Samsung Galaxy into a hackerā€™s playgroundā€”no click needed. How did this zero-day flaw let attackers spy on your phone? Find out the details behind the stealthy exploit.

https://thedefendopsdiaries.com/samsung-zero-day-cve-2025-21042-how-a-malicious-image-file-compromised-galaxy-devices/

#samsung
#zeroday
#androidsecurity
#cve202521042
#spyware
#cyberespionage
#patchmanagement
#mobilevulnerabilities
#cisa

Samsung Zero-Day CVE-2025-21042: How a Malicious Image File Compromised Galaxy Devices

Discover how a zero-day flaw in Samsung Galaxy devices enabled remote spyware attacks via malicious images and learn key mitigation steps.

The DefendOps Diaries
Agnieszka SerafinowiczNov 9

Rok na celowniku. Oprogramowanie ā€žLandfallā€ przez rok szpiegowało telefony Samsunga

To brzmi jak scenariusz filmu szpiegowskiego, ale wydarzyło się naprawdę. Analitycy z Unit 42, specjalnej jednostki ds. cyberbezpieczeństwa w Palo Alto Networks, ujawnili istnienie wysoce zaawansowanego oprogramowania szpiegowskiego o nazwie ā€žLandfallā€.

Atak był wymierzony w smartfony Samsung Galaxy i był aktywny przez prawie rok, zanim luka została załatana. Oprogramowanie pozwalało na kradzież praktycznie wszystkich danych z telefonu, a także na zdalne aktywowanie kamery i mikrofonu w celu szpiegowania użytkownika.

Atak typu zero-click, czyli broń w obrazku

Najbardziej niepokojący w ataku ā€žLandfallā€ jest jego mechanizm. Był to atak typu zero-click, co oznacza, że do infekcji nie była wymagana absolutnie żadna interakcja ze strony użytkownika ā€“ nie trzeba było klikać w Å¼aden link ani niczego instalować.

Jak to działało?

  • Dostawa: atakujący przesyłali ofierze (prawdopodobnie przez komunikator typu WhatsApp) specjalnie spreparowany plik graficzny.
  • Przynęta: ā€žbroniąā€ nie był zwykły JPG, lecz zmodyfikowany plik DNG ā€“ jest to format typu ā€žrawā€ (surowy obraz) bazujący na formacie TIFF.
  • Pułapka: wewnątrz tego pliku DNG hakerzy osadzili ukryte archiwum ZIP zawierające złośliwy kod.
  • Luka: problem leżał w bibliotece przetwarzania obrazu w oprogramowaniu Samsunga.

Gdy telefon prĆ³bował przetworzyć ten plik (np. by wyświetlić jego miniaturkę w galerii lub komunikatorze), system operacyjny rozpakowywał ukryty plik ZIP i uruchamiał złośliwe oprogramowanie szpiegowskie.

Po zainfekowaniu, ā€žLandfallā€ modyfikował polityki SELinux (mechanizm bezpieczeństwa w Androidzie), aby zakopać się głęboko w systemie, uzyskać szerokie uprawnienia i uniknąć wykrycia.

Kto był celem?

Analitycy z Unit 42 uspokajają, że nie był to atak masowy. Wszystko wskazuje na to, że ā€žLandfallā€ był używany do precyzyjnie wymierzonych działań szpiegowskich, gÅ‚Ć³wnie na Bliskim Wschodzie (wskazano na Irak, Iran, Turcję i Maroko).

W kodzie złośliwego oprogramowania znaleziono bezpośrednie odniesienia do konkretnych modeli Samsunga, w tym Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 oraz Galaxy Z Fold 4. Chociaż nie zidentyfikowano autorĆ³w ataku, jego złożoność i metody działania przypominają narzędzia tworzone przez komercyjne firmy zajmujące się cyberwywiadem, takie jak osławiona NSO Group (twĆ³rcy Pegasusa).

SprawdÅŗ, czy jesteś bezpieczny

Luka (zarejestrowana jako CVE-2025-21042) była obecna w oprogramowaniu Samsunga opartym na Androidzie od 13 do 15. Producent wydał krytyczną poprawkę bezpieczeństwa w kwietniu 2025 roku.

Analitycy z Unit 42 wstrzymywali się z publikacją szczegĆ³Å‚Ć³w ataku do teraz, aby dać użytkownikom czas na aktualizację. Teraz, gdy metoda jest publiczna, kluczowe jest, aby każdy posiadacz telefonu Samsung upewnił się, że ma zainstalowane wszystkie aktualizacje systemu, a w szczegĆ³lności łatkę bezpieczeństwa z kwietnia 2025 lub nowszą.

#Android #CVE202521042 #DNG #GalaxyS23 #GalaxyS24_ #Landfall #lukaBezpieczeństwa #news #oprogramowanieSzpiegowskie #Samsung #spyware #Unit42 #zeroClick

TechNaduNov 8

Palo Alto Networks discovered Landfall, an Android spyware exploiting a Samsung zero-day (CVE-2025-21042) to deliver malware via DNG images on WhatsApp.
šŸŽÆ Region: Middle East & North Africa
šŸ“± Targets: Samsung Galaxy S22ā€“S24, Fold4, Flip4
šŸ•µļøā€ā™‚ļø Capabilities: Audio recording, GPS tracking, data exfiltration
The vulnerability was patched in April, but exploitation began months before. Attribution remains uncertain.
Follow @technadu for neutral, verified #InfoSec updates.

#CyberSecurity #Android #Spyware #Samsung #ZeroDay #CVE202521042 #ThreatIntelligence #MobileSecurity #DigitalForensics #TechNews