CISA Perintahkan Lembaga Federal AS Segera Tambal Celah Zero-Day Samsung yang Disalahgunakan Spyware LandFall
Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat memerintahkan seluruh lembaga federal untuk segera menambal celah keamanan kritis pada perangkat Samsung, yang diketahui telah dieksploitasi dalam serangan zero-day guna menginstal spyware LandFall melalui aplikasi WhatsApp.
Kerentanan ini dilacak sebagai CVE-2025-21042, berupa cacat out-of-bounds write pada pustaka libimagecodec.quram.so milik Samsung. Celah tersebut memungkinkan penyerang mengeksekusi kode berbahaya dari jarak jauh pada perangkat Android 13 ke atas.
Celah Zero-Day yang Dieksploitasi Lewat Gambar DNG
Meski Samsung telah memperbaiki kerentanan ini pada April 2025 setelah mendapat laporan dari tim keamanan Meta dan WhatsApp, analisis terbaru dari Palo Alto Networks Unit 42 mengungkap bahwa eksploitasi sudah terjadi sejak Juli 2024.
Para penyerang menggunakan gambar DNG berbahaya yang dikirim melalui WhatsApp untuk menginfeksi perangkat korban dengan spyware LandFall.
Spyware tersebut memiliki kemampuan canggih, termasuk:
- Mengakses riwayat penelusuran web,
- Merekam panggilan dan audio,
- Melacak lokasi korban,
- Mengambil foto, kontak, SMS, log panggilan, hingga file pribadi.
Unit 42 melaporkan bahwa serangan ini menargetkan sejumlah perangkat flagship Samsung, antara lain Galaxy S22, S23, S24, serta Z Fold 4 dan Z Flip 4.
Jejak Digital Menunjukkan Serangan Terarah
Data dari VirusTotal menunjukkan korban potensial tersebar di Irak, Iran, Turki, dan Maroko. Infrastruktur command and control (C2) serta pola pendaftaran domain memiliki kemiripan dengan operasi Stealth Falcon, yang diketahui berasal dari Uni Emirat Arab.
Selain itu, komponen pemuat malware (loader) bernama “Bridge Head” juga menarik perhatian peneliti karena pola penamaannya mirip dengan spyware komersial buatan NSO Group, Variston, Cytrox, dan Quadream. Namun, hingga kini LandFall belum dapat dikaitkan secara pasti dengan vendor atau kelompok siber tertentu.
CISA Masukkan ke Daftar Kerentanan yang Dieksploitasi
CISA kini telah menambahkan CVE-2025-21042 ke dalam Known Exploited Vulnerabilities Catalog, yaitu daftar resmi celah keamanan yang sedang aktif dieksploitasi.
Berdasarkan mandat Binding Operational Directive (BOD) 22-01, seluruh lembaga dalam lingkup Federal Civilian Executive Branch (FCEB) diwajibkan menambal celah ini sebelum 1 Desember 2025.
Kategori FCEB mencakup lembaga non-militer seperti Departemen Energi, Departemen Keuangan, Departemen Keamanan Dalam Negeri (DHS), serta Departemen Kesehatan dan Layanan Kemanusiaan (HHS).
Seruan untuk Semua Pengguna dan Organisasi
Walau perintah tersebut hanya berlaku bagi instansi federal, CISA juga mendorong seluruh organisasi dan pengguna Samsung untuk segera memasang pembaruan keamanan.
“Jenis kerentanan seperti ini sering digunakan oleh aktor jahat dan menimbulkan risiko signifikan terhadap keamanan sistem pemerintahan maupun publik,” tulis CISA dalam peringatannya.
Lembaga itu juga menekankan pentingnya mengikuti panduan mitigasi dari vendor, mematuhi kebijakan keamanan cloud yang berlaku di bawah BOD 22-01, atau menghentikan penggunaan perangkat jika pembaruan tidak tersedia.
Sebagai catatan, Samsung pada September 2025 juga merilis tambalan untuk celah serupa di pustaka libimagecodec.quram.so (CVE-2025-21043), yang sebelumnya dieksploitasi dalam serangan zero-day lainnya terhadap perangkat Android perusahaan tersebut.
