> [!high] CVSS 7.1 — Alto > Leitura fora dos limites no driver USB-audio do kernel Linux. Explorado in-the-wild em combinação com CVE-2024-53197 por agentes estatais para comprometer dispositivos Android via USB. > [!warning] CISA KEV — Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2025-04-09. Prazo de mitigação para agências federais: 2025-04-30. # CVE-2024-53150 — Linux Kernel USB-audio Out-of-Bounds Read > [!summary] > **CVSS:** 7.1 (Alto) | **Exploração:** Ativa | **KEV:** Sim | **Patch:** Disponível ## Visão Geral **CVE-2024-53150** é uma vulnerabilidade de **leitura fora dos limites** (*out-of-bounds read*) no driver USB-audio do [[kernel Linux]], afetando múltiplas versões estáveis do kernel. A falha reside na ausência de validação do campo `bLength` durante a travessia de descritores de clock de dispositivos USB de áudio, permitindo que um dispositivo USB mal-intencionado induza o kernel a ler dados além dos limites do buffer alocado. A vulnerabilidade ganhou notoriedade ao ser associada à [[CVE-2024-53197]], outra falha no kernel Linux relacionada a dispositivos USB malformados. Em conjunto, as duas vulnerabilidades foram utilizadas por um agente de ameaça estatal para comprometer dispositivos **Android** — o kernel Linux é a base do sistema operacional Android — por meio da conexão física de dispositivos USB especialmente preparados. A divulgação pública ocorreu em 24 de dezembro de 2024, através de patches enviados ao repositório oficial do kernel.org. A inclusão no catálogo CISA KEV em abril de 2025 confirmou exploração ativa, elevando o nível de urgência para organizações com dispositivos Linux embarcados e sistemas Android gerenciados. **Contexto de risco:** - CVSS v3.1: **7.1** (Alto) - Vetor de ataque: **Local** (acesso físico ou sessão com dispositivo USB) - Exploração ativa confirmada pelo Google em ambiente Android - Parte de cadeia de exploração com [[cve-2024-53197|CVE-2024-53197]] ## Produtos Afetados | Fabricante | Produto | Versões Afetadas | Versão Corrigida | |-----------|---------|-----------------|-----------------| | Linux | Kernel (USB-audio driver) | < 5.4.287 | 5.4.287+ | | Linux | Kernel | 5.5 – 5.10.231 | 5.10.232+ | | Linux | Kernel | 5.11 – 5.15.174 | 5.15.175+ | | Linux | Kernel | 5.16 – 6.1.120 | 6.1.121+ | | Linux | Kernel | 6.2 – 6.6.64 | 6.6.65+ | | Linux | Kernel | 6.7 – 6.11.11 | 6.11.12+ | | Linux | Kernel | 6.12 – 6.12.2 | 6.12.3+ | | Debian | Linux 11.0 (Bullseye) | Versões com kernel afetado | Patch via DSA | ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 7.1 (Alto) | | Vetor Completo | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | | Vetor de Ataque | Local | | Complexidade | Baixa | | Privilégios Necessários | Baixos | | Interação do Usuário | Nenhuma | | Impacto Confidencialidade | Alto | | Impacto Integridade | Nenhum | | Impacto Disponibilidade | Alto | | CWE | CWE-125: Out-of-bounds Read | ## Status de Exploração - **Exploração ativa:** Sim — confirmada pelo Google TAG em dispositivos Android - **PoC público:** Não divulgado publicamente - **Grupos conhecidos explorando:** Agente estatal não identificado publicamente (Google TAG) - **Cadeia de exploração:** Utilizada em conjunto com [[cve-2024-53197|CVE-2024-53197]] - **Vetor de entrega:** Dispositivo USB físico mal-intencionado conectado ao alvo - **Desde:** Confirmada em exploração ativa em 2025 ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **09 de abril de 2025**. - **Data de adição ao KEV:** 2025-04-09 - **Prazo de mitigação (agências federais):** 2025-04-30 - **Ação obrigatória:** Aplicar atualizações do fornecedor ou descontinuar o uso do produto afetado ## Mitigação ### Patch Aplicar as versões corrigidas do kernel Linux: - Kernel 5.4.x: atualizar para **5.4.287 ou superior** - Kernel 5.10.x: atualizar para **5.10.232 ou superior** - Kernel 5.15.x: atualizar para **5.15.175 ou superior** - Kernel 6.1.x: atualizar para **6.1.121 ou superior** - Kernel 6.6.x: atualizar para **6.6.65 ou superior** - Kernel 6.11.x: atualizar para **6.11.12 ou superior** - Kernel 6.12.x: atualizar para **6.12.3 ou superior** Para sistemas Android: aguardar boletim de segurança do fabricante ou aplicar patch OTA do Google para dispositivos Pixel. ### Workaround - Desabilitar o carregamento automático do módulo `snd-usb-audio` em sistemas que não necessitam de áudio USB: ``` echo "blacklist snd-usb-audio" >> /etc/modprobe.d/blacklist.conf ``` - Restringir acesso físico a portas USB em dispositivos sensíveis - Implementar políticas de controle de dispositivos USB (USBGuard no Linux) ## Contexto de Ameaça A vulnerabilidade foi identificada como parte de uma **cadeia de exploração** envolvendo dispositivos USB malformados contra targets Android. O Google TAG reportou o uso combinado de CVE-2024-53150 e [[cve-2024-53197|CVE-2024-53197]] por um agente de ameaça estatal não identificado publicamente. ### Cadeia de Exploração A sequência típica de exploração envolve: 1. Acesso físico ao dispositivo alvo (ou comprometimento de hub USB) 2. Conexão de dispositivo USB especialmente preparado 3. Trigger do out-of-bounds read via descriptor de clock malformado (**CVE-2024-53150**) 4. Trigger do out-of-bounds access via configuração USB inválida ([[cve-2024-53197|CVE-2024-53197]]) 5. Escalada de privilégios ou execução de código no kernel ### TTPs MITRE ATT&CK - [[T1195 - Supply Chain Compromise]] — Dispositivo USB como vetor - [[T1068 - Exploitation for Privilege Escalation]] — Escalada via kernel - [[T1203 - Exploitation for Client Execution]] — Execução via falha no kernel ### Atores de Ameaça Associados - Agente estatal (não identificado publicamente) — confirmado pelo Google TAG ### Campanhas - Exploração direcionada de dispositivos Android via USB (2025, Google TAG) ## Relevância LATAM/Brasil A vulnerabilidade afeta o kernel Linux presente em dispositivos Android — plataforma dominante no Brasil com mais de **75% de market share** de smartphones. Embora o vetor de ataque seja local (requer acesso físico ao dispositivo), o cenário é relevante para: - **Infraestrutura crítica e governo:** Dispositivos Android usados em redes governamentais e industriais - **Jornalistas e ativistas:** Alvo tradicional de ferramentas de vigilância estatal - **Sistemas embarcados:** Devices IoT e industriais com kernel Linux expostos Distribuidores Linux brasileiros como servidores com Ubuntu/Debian devem priorizar a atualização do kernel. Organizações com política BYOD devem garantir que dispositivos Android tenham os patches de segurança mais recentes aplicados. ## Referências - [NVD — CVE-2024-53150](https://nvd.nist.gov/vuln/detail/CVE-2024-53150) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Patches kernel.org](https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/) - [Debian Security Advisory](https://security-tracker.debian.org/tracker/CVE-2024-53150) - CVE relacionado: [[cve-2024-53197|CVE-2024-53197]] (Out-of-bounds Access, mesma cadeia)