De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt voor actieve aanvallen waarbij kwetsbaarheden in de Linux kernel en het Android-besturingssysteem worden misbruikt. De recent toegevoegde kwetsbaarheid CVE-2025-48595 betreft een integer overflow in het Android Framework, die aanvallers verhoogde privileges kan geven zonder dat gebruikersinteractie nodig is. Deze kwetsbaarheid treft Android-versies 14 tot en met 16 en wordt mogelijk al beperkt actief geëxploiteerd.

Google heeft de kwetsbaarheid verholpen met de beveiligingsupdates van juni 2026 (patchlevels 2026-06-01 en 2026-06-05). Naast deze Android-kwetsbaarheid heeft CISA ook CVE-2022-0492 toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus. Dit is een ernstige privilege-escalatie in meerdere Linux kernel branches, van versie 2.6 tot 4.20 en van 5.5 tot 5.17. De kwetsbaarheid zit in de functie ‘cgroup_release_agent_write()’ van het cgroups v1 subsystem, waar onvoldoende authenticatiechecks aanwezig zijn. Hierdoor kan een lokale aanvaller namespace-isolatie omzeilen, privileges verhogen en mogelijk ontsnappen uit een container om root-toegang op het host-systeem te verkrijgen.

Onderzoeken van Aqua Security en Palo Alto Networks bevestigen dat deze kwetsbaarheid vooral impact heeft op containeromgevingen die cgroups v1 gebruiken, en dat het risico toeneemt wanneer containers uitgebreide rechten krijgen. De Linux kernel versies waarin de kwetsbaarheid is opgelost, zijn onder andere 4.9.301+, 4.14.266+, 4.19.229+, 5.4.177+, 5.10.97+, 5.15.20+, 5.16.6+ en 5.17-rc3+.

Door opname van deze kwetsbaarheden in de KEV-catalogus zijn alle federale instanties die onder de BOD 22-01 richtlijn vallen verplicht om de door de leveranciers geleverde patches en mitigaties toe te passen, of het gebruik van de getroffen software te staken. De deadline voor 5 juni geldt hiervoor als uiterste datum. Daarnaast dient ook de kritieke infrastructuur en andere grote organisaties met dezelfde urgentie passende beveiligingsmaatregelen te treffen. Geen van beide kwetsbaarheden is gemarkeerd als geëxploiteerd door ransomwaregroepen, een specifieke aanduiding die CISA gebruikt om extra urgentie aan te geven.