The Hacker Newsは4月14日(米国時間)、「Severe Android and Novi Survey Vulnerabilities Under Active Exploitation」において、AndroidおよびNovi Surveyに重大な脆弱性があるとして、注意を喚起した。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)から、これら脆弱性がサイバー攻撃に悪用されていると報告されている。
今回、「Known Exploited Vulnerabilities Catalog」に以下の脆弱性が新たに登録された。
- CVE-2023-20963(CVSSスコア値:7.8)- Android Frameworkの特権エスカレーションの脆弱性
- CVE-2023-29492(CVSSスコア値:TBD) - Novi Surveyの安全でないデシリアライズ脆弱性
中国のEコマースベンダーであるPinduoduoがデジタル署名したAndroidアプリでCVE-2023-20963が悪用されたことが確認されている。デバイスの制御を奪取して機密データを盗んでいたという。なお、Pinduoduoの公式アプリは3月にGoogle Playから削除されている。
CVE-2023-29492は、Novi Surveyソフトウェアに存在するリモートコード実行(RCE: Remote Code Execution)の脆弱性とされ、Novi Survey 8.9.43676 以前のバージョンに影響すると述べられている。
米国連邦民間行政機関(FCEB:Federal Civilian Executive Branch)はこれらの脆弱性がもたらすリスクへの対処として、2023年5月4日までに必要なパッチをあてるよう勧告している。AndroidユーザーおよびNovi Surveyユーザーは情報を確認するとともに、必要に応じてアップデートを適用することが望まれる。