Tu Android bajo ataque: CVE-2024-36971 está siendo activamente explotado por ciberdelincuentes

En agosto de 2024, los desarrolladores del sistema operativo móvil Android lanzaron actualizaciones de seguridad que resolvieron 46 problemas, incluyendo una grave vulnerabilidad de ejecución remota de código (RCE) utilizada en ataques dirigidos.

La vulnerabilidad de día cero, designada como CVE-2024-36971, es un error de uso después de liberación (Use-After-Free) en la gestión de rutas de red del núcleo de Linux. Para una explotación exitosa se requiere un privilegio de ejecución del sistema, lo que permite modificar el comportamiento de ciertas conexiones de red.

Google informa que hay indicios de una explotación dirigida limitada de la vulnerabilidad CVE-2024-36971, lo que permite a los atacantes ejecutar código arbitrario sin interacción del usuario en dispositivos que ya no reciben soporte.

Aunque la propia Google aún no ha proporcionado detalles sobre los métodos de explotación de la vulnerabilidad ni sobre quién está detrás de los ataques, este tipo de vulnerabilidades suelen ser utilizadas por muchos hackers APT estatales para atacar objetivos de alto perfil.

«El código fuente de los parches para estos problemas se publicará en el repositorio del Proyecto de Código Abierto de Android (AOSP) en las próximas 48 horas», según el comunicado de los desarrolladores. Al mismo tiempo, todos los socios de Android fueron notificados de los problemas identificados al menos un mes antes de la publicación de la lista de correcciones.

A principios de este año, Google corrigió otra vulnerabilidad de día cero utilizada en ataques reales. Se trataba de una vulnerabilidad de elevación de privilegios (EoP) de alta gravedad en el firmware de Pixel. Las empresas forenses llevaban mucho tiempo utilizando esta brecha para desbloquear dispositivos Android sin código PIN y acceder a los datos almacenados.

Para las actualizaciones de seguridad de agosto, Google lanzó dos conjuntos de parches: los niveles de seguridad 2024-08-01 y 2024-08-05. Este último incluye todas las correcciones del primer conjunto y parches adicionales para componentes cerrados de terceros y del núcleo, como una vulnerabilidad crítica ( CVE-2024-23350 ) en un componente cerrado de Qualcomm.

Es importante señalar que no todos los dispositivos Android necesitan las correcciones aplicables al nivel de parche 2024-08-05. Los fabricantes de dispositivos también pueden priorizar el nivel de parche inicial para simplificar el proceso de actualización. Sin embargo, esto no necesariamente indica un mayor riesgo de potencial explotación.

Cabe destacar que los dispositivos Google Pixel reciben actualizaciones mensuales de seguridad inmediatamente después de su lanzamiento, mientras que otros fabricantes pueden necesitar tiempo para probar e implementar los parches para garantizar la compatibilidad con diversas configuraciones de hardware.