في برامج تشغيل شرائح Broadcom اللاسلكية أربعة في أبسط الحالات، يمكن استخدام الثغرات الأمنية للتسبب في حجب الخدمة عن بعد، ولكن لا يمكن استبعاد السيناريوهات التي يمكن فيها تطوير ثغرات تسمح لمهاجم غير مصادق عليه بتنفيذ التعليمات البرمجية الخاصة به بامتيازات النواة. Linux عن طريق إرسال طرود مصممة خصيصاً.
تم التعرف على المشاكل عن طريق الهندسة العكسية للبرامج الثابتة من Broadcom. وتستخدم الرقائق المتأثرة على نطاق واسع في أجهزة الكمبيوتر المحمولة والهواتف الذكية ومجموعة متنوعة من الأجهزة الاستهلاكية، من أجهزة التلفزيون الذكية إلى أجهزة إنترنت الأشياء. على وجه الخصوص، تُستخدم شرائح Broadcom في الهواتف الذكية من الشركات المصنعة مثل Apple وSamsumg وHuawei. يُشار إلى أنه تم إخطار Broadcom بالثغرات الأمنية في سبتمبر 2018، لكن الأمر استغرق حوالي 7 أشهر لإصدار الإصلاحات بالتنسيق مع الشركات المصنعة للمعدات.
تؤثر ثغرتان أمنيتان على البرامج الثابتة الداخلية، وقد تسمحان بتنفيذ التعليمات البرمجية في بيئة نظام التشغيل المستخدم في رقائق برودكوم، مما يسمح بالهجمات على البيئات التي لا تستخدم Linux (على سبيل المثال، تم تأكيد إمكانية مهاجمة أجهزة أبل، ). دعونا نتذكر أن بعض شرائح Broadcom Wi-Fi عبارة عن معالج متخصص (ARM Cortex R4 أو M3)، والذي يقوم بتشغيل نظام تشغيل مشابه مع تطبيقات مكدسه اللاسلكي 802.11 (FullMAC). في مثل هذه الرقائق، يضمن برنامج التشغيل تفاعل النظام الرئيسي مع البرامج الثابتة لشريحة Wi-Fi. للحصول على التحكم الكامل في النظام الرئيسي بعد اختراق FullMAC، يُقترح استخدام ثغرات أمنية إضافية أو، في بعض الرقائق، الاستفادة من الوصول الكامل إلى ذاكرة النظام. في الرقائق المزودة بـ SoftMAC، يتم تنفيذ حزمة 802.11 اللاسلكية على جانب برنامج التشغيل ويتم تنفيذها باستخدام وحدة المعالجة المركزية للنظام.
تؤثر ثغرات برامج التشغيل على كلٍ من برنامج التشغيل الاحتكاري wl (SoftMAC وFullMAC) وبرنامج التشغيل مفتوح المصدر brcmfmac (FullMAC). تم اكتشاف ثغرتين في تجاوز سعة المخزن المؤقت في برنامج التشغيل wl، يتم استغلالهما عندما تُرسل نقطة الوصول رسائل EAPOL مُصممة خصيصًا أثناء عملية التفاوض على الاتصال (يمكن تنفيذ الهجوم عند الاتصال بنقطة وصول خبيثة). في حالة شريحة SoftMAC، تؤدي هذه الثغرات إلى اختراق نواة النظام، بينما في حالة FullMAC، يمكن تنفيذ التعليمات البرمجية في البرامج الثابتة. أما في brcmfmac، فتوجد ثغرة تجاوز سعة المخزن المؤقت وخطأ في التحقق من صحة الإطار، يتم استغلالهما عن طريق إرسال إطارات تحكم. في نواة النظام Linux مشاكل في برنامج تشغيل brcmfmac في فبراير.
نقاط الضعف التي تم تحديدها:
- CVE-2019-9503 - السلوك غير الصحيح لبرنامج تشغيل brcmfmac عند معالجة إطارات التحكم المستخدمة للتفاعل مع البرامج الثابتة. إذا كان الإطار الذي يتضمن حدث البرنامج الثابت يأتي من مصدر خارجي، فإن برنامج التشغيل يتجاهله، ولكن إذا تم استلام الحدث عبر الناقل الداخلي، فسيتم تخطي الإطار. المشكلة هي أن الأحداث من الأجهزة التي تستخدم USB يتم نقلها عبر الناقل الداخلي، مما يسمح للمهاجمين بنقل إطارات التحكم في البرامج الثابتة بنجاح عند استخدام المحولات اللاسلكية مع واجهة USB؛
- CVE-2019-9500 - عند تمكين ميزة "Wake-up on Wireless LAN"، من الممكن التسبب في تجاوز سعة الكومة في برنامج تشغيل brcmfmac (الوظيفة brcmf_wowl_nd_results) عن طريق إرسال إطار تحكم معدّل خصيصًا. يمكن استخدام هذه الثغرة لتنظيم تنفيذ التعليمات البرمجية في النظام الرئيسي بعد اختراق الشريحة أو بالاشتراك مع الثغرة CVE-2019-9503 لتجاوز عمليات التحقق في حالة إرسال إطار التحكم عن بعد؛
- CVE-2019-9501 - تجاوز سعة المخزن المؤقت في برنامج التشغيل wl (وظيفة wlc_wpa_sup_eapol) الذي يحدث عند معالجة الرسائل التي يتجاوز محتوى حقل معلومات الشركة المصنعة لها 32 بايت؛
- CVE-2019-9502 - يحدث تجاوز سعة المخزن المؤقت في برنامج التشغيل wl (وظيفة wlc_wpa_plumb_gtk) عند معالجة الرسائل التي يتجاوز محتوى حقل معلومات الشركة المصنعة لها 164 بايت.
المصدر: opennet.ru
