CISA nakazuje załatomanie zero-day Samsunga (CVE-2025-21042) wykorzystywanego do ataków spyware „LandFall”

Wprowadzenie do problemu / definicja luki

Amerykańska CISA dołączyła do katalogu Known Exploited Vulnerabilities (KEV) krytyczną lukę w urządzeniach Samsung Galaxy – CVE-2025-21042 – i nakazała agencjom federalnym natychmiastowe załatanie floty. Błąd to out-of-bounds write w bibliotece libimagecodec.quram.so, który umożliwia zdalne wykonanie kodu (RCE) na urządzeniach z Androidem 13+ po przetworzeniu specjalnie spreparowanego obrazu. Samsung załatał problem w SMR Apr-2025 Release 1. CISA ustaliła termin naprawy na 1 grudnia 2025 r. w ramach BOD 22-01.

Równolegle zespół Unit 42 opisał kampanię szpiegowską LANDFALL, która wykorzystywała tę lukę poprzez obrazy DNG dostarczane m.in. przez WhatsApp.

W skrócie

• CVE-2025-21042: błąd zapisu poza buforem w libimagecodec.quram.so → RCE po otwarciu/przetworzeniu obrazu (DNG). Łatka: SMR Apr-2025 Release 1.
• Wykorzystanie w atakach: spyware LANDFALL, dostarczany w zmodyfikowanych plikach DNG (obraz + dołączone archiwum ZIP z komponentami .so).
• Status CISA: wpis w KEV z datą dodania 10 listopada 2025 i terminem 1 grudnia 2025 na wdrożenie mitigacji/aktualizacji.
• Zasięg: modele flagowe Galaxy (m.in. S22/S23/S24, Z Fold4/Z Flip4); potencjalne ofiary w Iraku, Iranie, Turcji, Maroku.

Kontekst / historia / powiązania

Unit 42 wskazuje, iż próbki złośliwych obrazów DNG pojawiały się w VirusTotal od lipca 2024 r., a kampania trwała miesiącami przed publikacją poprawki w kwietniu 2025 r. Luka została prywatnie zgłoszona do Samsunga jesienią 2024 r., a numer CVE nadano w 2025 r.

CISA ujęła CVE-2025-21042 w KEV i publicznie zaapelowała o szybkie działania naprawcze – zgodnie z praktyką, gdy luka jest aktywnie wykorzystywana. NVD potwierdza krytyczną ocenę (CVSS v3.1 do 9.8 wg NVD) i odniesienia do KEV oraz biuletynu Samsunga.

W tym samym komponencie (libimagecodec.quram.so) Samsung łatał też CVE-2025-21043 we wrześniu 2025 r., również wcześniej obserwowaną „in the wild”. To sugeruje szerszy trend nadużywania parserów RAW/DNG na platformach mobilnych.

Analiza techniczna / szczegóły luki

Wektor wejścia
Atakujący wysyła spreparowany plik DNG (Digital Negative). Podczas parsowania obrazu przez libimagecodec.quram.so dochodzi do zapisu poza buforem i przejęcia przepływu sterowania. W próbkach LANDFALL na końcu DNG dołączono ZIP z komponentami ELF (b.so – loader/backdoor oraz moduł manipulujący politykami SELinux), które po eksploatacji są wyodrębniane i wykonywane.

Warstwa exploita

• Błąd został naprawiony w SMR Apr-2025 R1 (Samsung Mobile Release).
• W ocenie NVD: RCE zdalne, często przy minimalnej interakcji użytkownika (w niektórych ścieżkach wystarczy automatyczne przetworzenie miniatury/metadata).

Łańcuch infekcji LANDFALL (skrót)

1. Dostarczenie obrazu DNG przez komunikator (np. WhatsApp).
2. Parsowanie → wyzwolenie OOB write w libimagecodec.quram.so.
3. Rozpakowanie dołączonego ZIP i uruchomienie b.so.
4. Manipulacja SELinux dla uprawnień/persistencji; telemetryka i exfiltracja (kontakty, SMS, lokalizacja, audio, zdjęcia, logi połączeń).

Praktyczne konsekwencje / ryzyko

• Zero-click/low-click: w zależności od ścieżki przetwarzania mediów na urządzeniu/wersji aplikacji, exploit może wymagać minimalnej lub zerowej interakcji. Ryzyko dotyczy też miniatur/preview.
• Zasięg urządzeń: liczne generacje Galaxy na Androidzie 13+; floty BYOD/COPE w organizacjach mogą być podatne do czasu aktualizacji.
• Skutki incydentu: pełna inwigilacja (mikrofon, geolokacja, pliki), utrata poufności danych służbowych, możliwość wtórnego ruchu C2 i eskalacji.

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe łatanie (priorytet 1)

• W MDM/EMM wymuś aktualizację do SMR Apr-2025 R1 lub nowszej (docelowo najnowszy SMR dostępny dla danego modelu). Egzekwuj regułę „block non-compliant” dla urządzeń bez poprawki.

2) Twarde zasady dla mediów w komunikatorach (tymczasowe)

• Do czasu pełnego rollout’u rozważ wyłączenie auto-pobierania mediów w zarządzanych komunikatorach albo polityki „open-in-viewer sandbox” (jeśli MDM/Knox to wspiera). (Ogólna praktyka ograniczająca powierzchnię ataku obrazami RAW.)

3) Telemetria i hunting

• Monitoruj katalogi mediów komunikatorów pod kątem pliki .dng / JPEG zawierające podpis ZIP na końcu (magic 50 4B 03 04).
  Przykładowy one-liner dla urządzeń z dostępem ADB (urządzenia testowe/lab):

# Szukaj artefaktów plików DNG/JPEG z dołączonym ZIP w MediaStore WhatsAppa adb shell 'for f in $(find /sdcard/WhatsApp/Media -type f \( -iname "*.dng" -o -iname "*.jpg" -o -iname "*.jpeg" \) 2>/dev/null); do \ tail -c +1 "$f" | hexdump -Cv | tail -n +1 | grep -q "50 4b 03 04" && echo "[SUSPECT] $f"; done'

• Przejrzyj ruch pod kątem anomalii do domen/IP C2 (jeśli posiadasz IOK/IOC z Twoich sensorów lub z raportów komercyjnych). Unit 42 wskazuje obszary geograficzne i podobieństwa infrastrukturalne do komercyjnych PSSA/PSOA, ale nie publikuje jednoznacznej atrybucji.

4) Kontrola uprawnień i detekcja zachowań

• Upewnij się, iż agent MTD/Mobile EDR ma zasady wykrywania nietypowych uprawnień SELinux i prób wywołań loaderów .so z katalogów danych aplikacji.
• W SIEM utwórz reguły korelacyjne na: nagłe uruchomienia mikrofonu w tle + transfer danych + aktywność lokalizacyjna na urządzeniach Galaxy.

5) Reagowanie na incydent (IR)

• Izoluj urządzenie (Knox/MDM: tryb „lost mode”/block network), wykonaj cold reboot, zbierz ADB bugreport i kopię katalogów mediów do analizy.
• Jeśli wykryto wskaźniki LANDFALL: factory reset + odtworzenie z czystej kopii, rotacja kont/kluczy używanych na urządzeniu.

6) Polityki długofalowe

• W standardach bezpieczeństwa mobilnego dodaj wymóg: „aktualizacje SMR ≤30 dni” oraz „parsery obrazów RAW/DNG pod specjalnym nadzorem” (testy regresji).
• Minimalizuj zaufanie do bibliotek multimedialnych – sandboxy, ograniczenia parserów w aplikacjach o podwyższonym zaufaniu.

Różnice / porównania z innymi przypadkami

• CVE-2025-21042 vs CVE-2025-21043 (Samsung, ten sam komponent)
  Obie luki dotyczą libimagecodec.quram.so i formatu DNG, ale 21042 (załatana w kwietniu 2025) jest bezpośrednio powiązana z kampanią LANDFALL. 21043 (załatana we wrześniu 2025) również była obserwowana „in the wild”, ale nie w tej konkretnej kampanii. Dla SOC/MDM praktycznie oznacza to patch oba zestawy SMR i objęcie parsera DNG testami bezpieczeństwa.
• Paralela do ekosystemu Apple/WhatsApp (2025 r.)
  Unit 42 wskazuje podobieństwa do równoległych łańcuchów na iOS (m.in. CVE-2025-43300 po stronie DNG i CVE-2025-55177 po stronie WhatsApp); nie ma jednak dowodu na nieznaną lukę w samym WhatsApp w scenariuszu Samsung/Android. Wniosek: parsery obrazów RAW stały się istotnym wektorem APT/spyware w 2024–2025.

Podsumowanie / najważniejsze wnioski

• Zaktualizuj wszystkie Galaxy do SMR Apr-2025 R1 lub nowszej – to eliminuje CVE-2025-21042, którą CISA klasyfikuje jako aktywnie wykorzystywaną (KEV, termin 1.12.2025 dla FCEB).
• Wprowadź tymczasowe ograniczenia dla mediów DNG w komunikatorach do czasu 100% zgodności floty.
• Usprawnij hunting pod kątem anomalii w obrazach (DNG z dołączonym ZIP) i zachowań (SELinux, mikrofon, exfil).
• Traktuj parsery grafiki jako powierzchnię wysokiego ryzyka – regularne testy i szybkie rollouty SMR.

Źródła / bibliografia

1. NVD – CVE-2025-21042: opis, CVSS, odniesienia do KEV i SMR Apr-2025 R1. (NVD)
2. Samsung Mobile Security – SMR Apr-2025 R1: biuletyn z poprawką dla libimagecodec.quram.so. (Samsung Mobile Security)
3. Unit 42 (Palo Alto Networks) – LANDFALL: pełna analiza kampanii, wektor DNG, komponenty .so, oś czasu i kraje celów. (Unit 42)
4. CISA KEV/BOD 22-01 (poprzez NVD): data dodania do KEV (2025-11-10), termin naprawy (2025-12-01) i wymóg zastosowania mitigacji. (NVD)
5. NVD – powiązania i historia zmian: wpisy dot. KEV i referencji Unit 42/Samsung. (NVD)