CISA dodaje dwie luki Android do katalogu KEV: CVE-2025-48572 i CVE-2025-48633

Wprowadzenie do problemu / definicja luki

2 grudnia 2025 r. amerykańska CISA dodała dwie luki w Android Framework do katalogu Known Exploited Vulnerabilities (KEV) – to sygnał, iż są one aktywnie wykorzystywane i wymagają priorytetowego łatania. Chodzi o:

• CVE-2025-48572 – elevation of privilege (podniesienie uprawnień)
• CVE-2025-48633 – information disclosure (ujawnienie informacji)
  Decyzja CISA zbiegła się z grudniowym biuletynem bezpieczeństwa Androida, w którym Google potwierdziło „oznaki ograniczonej, ukierunkowanej eksploatacji” obu błędów i udostępniło poprawki.

W skrócie

• Co się stało: CISA dodała CVE-2025-48572 i CVE-2025-48633 do KEV po potwierdzeniu wykorzystywania w atakach.
• Na czym polegają luki: obie dotyczą Android Framework; jedna umożliwia eskalację uprawnień, druga wyciek informacji.
• Kto jest zagrożony: urządzenia z Androidem (13–16 i nowsze wspierane wersje), zanim otrzymają poprawkę 2025-12-05.
• Co zrobić: natychmiast wdrożyć aktualizacje dostawcy/OEM, wymusić poziom łatki 2025-12-05, przyspieszyć MDM, ograniczyć sideloading i wzmocnić monitorowanie EDR na Androidzie.

Kontekst / historia / powiązania

Katalog CISA KEV to lista podatności z potwierdzonym wykorzystaniem w środowisku rzeczywistym – po wpisaniu do KEV federalne agencje w USA mają obowiązek szybkiej remediacji, a sektor prywatny często przyjmuje te same terminy jako SLA patchowania o podwyższonym priorytecie. Wpis z 2 grudnia 2025 r. dotyczy dwóch luk Android Framework i następuje dzień po publikacji grudniowego biuletynu Androida.

Analiza techniczna / szczegóły luki

CVE-2025-48572 (Framework – EoP): błąd umożliwia podniesienie uprawnień z kontekstu aplikacji do wyższych uprawnień systemowych. W praktyce pomaga napastnikowi „wyjść” poza piaskownicę aplikacji, łańcuchując się np. z luką w przeglądarce lub złośliwą aplikacją instalowaną poza Google Play. Google klasyfikuje go jako wysokie ryzyko i potwierdza sygnały o ograniczonej, ukierunkowanej eksploatacji.

CVE-2025-48633 (Framework – info disclosure): podatność prowadzi do ujawnienia informacji (np. wyciek wrażliwych danych procesowych lub tokenów), co może ułatwić kolejne kroki ataku, takie jak eskalacja uprawnień lub obejście mechanizmów zabezpieczeń. Również oznaczona przez Google jako aktywnie wykorzystywana w ograniczonych kampaniach.

Zakres i wersje: grudniowy biuletyn obejmuje 107 poprawek (dwa poziomy: 2025-12-01 i 2025-12-05), z czego te dwie luki Framework są najpilniejsze do załatania.

Praktyczne konsekwencje / ryzyko

• Łańcuchy ataku na urządzenia mobilne: połączenie wycieku informacji (CVE-2025-48633) i eskalacji uprawnień (CVE-2025-48572) sprzyja precyzyjnym atakom na osoby o wysokiej wartości (dziennikarze, dyplomaci, liderzy biznesu). Takie kampanie często rozpoczynają się od phishingu lub sideloadingu aplikacji.
• Zarządzanie flotą: z uwagi na model aktualizacji w ekosystemie Androida (wydania OEM po modyfikacjach), opóźnienia w dostarczaniu łat mogą utrzymywać okno ekspozycji choćby po publikacji biuletynu.

Rekomendacje operacyjne / co zrobić teraz

1. Patch management:
   • Wymuś w MDM/MAM instalację poprawek z poziomem bezpieczeństwa 2025-12-05 (lub nowszym), który „zbiera” wszystkie poprawki z biuletynu.
2. Polityka aplikacji:
   • Blokuj sideloading tam, gdzie to możliwe; ogranicz uprawnienia Install unknown apps tylko do ról administracyjnych/testowych.
   • Wymagaj Google Play Protect i skanowania aplikacji przed instalacją. (Dobre praktyki zgodne z zaleceniami producenta.)
3. Hardening i telemetria:
   • Wyłącz USB debugging/ADB na urządzeniach produkcyjnych.
   • Włącz rejestrowanie zdarzeń bezpieczeństwa na urządzeniach (integracja EMM/EDR dla Androida) i progi alertowania dla eskalacji uprawnień/anomalii uprawnień.
4. Priorytetyzacja urządzeń:
   • Najpierw aktualizuj urządzenia z dostępem do danych wrażliwych (MFA, poczta VIP, aplikacje finansowe) oraz te poza Play Store (urządzenia BYOD, strefy wysokiego ryzyka).
5. Procesy reakcji:
   • Zaktualizuj SLA na zgodne z praktyką KEV (podniesiony priorytet i skrócone terminy), choćby jeżeli formalnie nie podlegasz dyrektywom CISA.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W 2025 r. CISA wielokrotnie dopisywała do KEV podatności mobilne i serwerowe po potwierdzeniu eksploatacji (np. XWiki/VMware, Oracle, itp.). Jednak równoczesne dodanie przez CISA i natychmiastowe łatki Google dla dwóch luk w tym samym komponencie Framework podnoszą ich wagę – zwłaszcza, iż Google odnotowało ukierunkowaną eksploatację.

Podsumowanie / najważniejsze wnioski

• Dwie luki Android Framework (CVE-2025-48572, CVE-2025-48633) są w KEV i wykorzystywane w atakach.
• Aktualizacja do poziomu 2025-12-05 jest krytyczna – traktuj ją jak zmianę awaryjną dla floty urządzeń.
• Wzmocnij politykę instalacji aplikacji, telemetrię oraz SLA patchowania zgodnie z priorytetyzacją KEV.

Źródła / bibliografia

• Android Security Bulletin — December 2025 (Google AOSP). Szczegóły techniczne i poziomy łatek 2025-12-01/05. (Android Open Source Project)
• SecurityWeek: „Android’s December 2025 updates patch two zero-days” – kontekst o skali (107 poprawek) i statusie „limited, targeted exploitation”. (SecurityWeek)
• The Register: „Two Android 0-day bugs patched, plus 105 more fixes” – streszczenie z naciskiem na te dwie luki w Framework. (The Register)
• Canadian Centre for Cyber Security (AV25-799): potwierdzenie dopisania CVE-2025-48572/48633 do CISA KEV 2 grudnia 2025 r. (Canadian Centre for Cyber Security)
• CISA – strona przeglądu KEV i listing alertów: informacje o roli KEV i wpisie z 2 grudnia 2025 r. (lista alertów). (CISA)