У драйверах для бесправадных чыпаў Broadcom
Праблемы былі выяўлены падчас зваротнага інжынірынгу прашывак Broadcom. Схільныя да ўразлівасцяў чыпы шырока выкарыстоўваюцца ў наўтбуках, смартфонах і розных спажывецкіх прыладах, ад SmartTV да прылад інтэрнэту рэчаў. У прыватнасці, чыпы Broadcom прымяняюцца ў смартфонах такіх вытворцаў, як Apple, Samsumg і Huawei. Характэрна, што кампанія Broadcom была апавешчана аб уразлівасцях яшчэ ў верасні 2018 гады, але на скаардынаваны з вытворцамі абсталявання выпуск выпраўленняў спатрэбілася каля 7 месяцаў.
Дзве ўразлівасці закранаюць унутраныя прашыўкі і патэнцыйна дазваляюць выканаць код у асяроддзі выкарыстоўванай у чыпах Broadcom аперацыйнай сістэмы, што дазваляе атакаваць асяроддзі не выкарыстоўвалыя Linux (напрыклад, пацверджана магчымасць здзяйснення нападу на прылады Apple,
У драйверах уразлівасці выяўляюцца як у прапрыетарным драйверы wl (SoftMAC і FullMAC), так і ў адчыненым brcmfmac (FullMAC). У драйверы wl выяўлены два перапаўненні буфера, якія эксплуатуюцца пры перадачы кропкай доступу спецыяльна аформленых паведамленняў EAPOL у працэсе ўзгаднення злучэння (атака можа быць здзейснена пры падключэнні да шкоднаснай кропкі доступу). У выпадку чыпа з SoftMAC уразлівасці прыводзяць да кампраметацыі ядра сістэмы, а ў выпадку FullMAC код можа быць выкананы на боку прашыўкі. У brcmfmac прысутнічаюць перапаўненне буфера і памылка праверкі апрацоўваных кадраў, якія эксплуатуюцца праз адпраўку кіраўнікоў кадраў. У ядры Linux праблемы ў драйверы brcmfmac
Выяўленыя ўразлівасці:
- CVE-2019-9503 - некарэктныя паводзіны драйвера brcmfmac пры апрацоўцы кіраўнікоў кадраў, якія выкарыстоўваюцца для ўзаемадзеяння з прашыўкай. Калі кадр з падзеяй прашыўкі паступае з вонкавай крыніцы драйвер яго адкідае, але ў выпадку, калі падзея атрымана па ўнутранай шыне, кадр прапускаецца. Праблема ў тым, што праз унутраную шыну перадаюцца падзеі ад прылад, якія выкарыстоўваюць USB, што дазваляе атакавалым паспяхова перадаваць кіраўнікі прашыўкай кадры ў выпадку выкарыстання бесправадных адаптараў з інтэрфейсам USB;
- CVE-2019-9500 – пры ўключэнні функцыі "Wake-up on Wireless LAN" можна выклікаць перапаўненне кучы ў драйверы brcmfmac (функцыя brcmf_wowl_nd_results) праз адпраўку спецыяльна змененага кіраўніка кадра. Дадзеная ўразлівасць можа выкарыстоўвацца для арганізацыі выканання кода ў асноўнай сістэме пасля кампраметацыі чыпа ці ў камбінацыі з уразлівасцю CVE-2019-9503 для абыходу праверак у выпадку выдаленай адпраўкі кіраўніка кадра;
- CVE-2019-9501 - перапаўненне буфера ў драйверы wl (функцыя wlc_wpa_sup_eapol), якое ўзнікае пры апрацоўцы паведамленняў, змесціва поля з інфармацыяй аб вытворцу ў якіх перавышае 32 байта;
- CVE-2019-9502 - перапаўненне буфера ў драйверы wl (функцыя wlc_wpa_plumb_gtk), якое ўзнікае пры апрацоўцы паведамленняў, змесціва поля з інфармацыяй аб вытворцу ў якіх перавышае 164 байта.
Крыніца: opennet.ru