У драйверах для бесправадных чыпаў Broadcom чатыры . У найпростым выпадку ўразлівасці могуць выкарыстоўвацца для выдаленага выкліку адмовы ў абслугоўванні, але не выключаюцца і сцэнары, пры якіх могуць быць распрацаваны эксплоіты, якія дазваляюць неаўтэнтыфікаванаму зламысніку выканаць свой код з прывілеямі ядра Linux праз адпраўку адмысловай выявай аформленых пакетаў.
Праблемы былі выяўлены падчас зваротнага інжынірынгу прашывак Broadcom. Схільныя да ўразлівасцяў чыпы шырока выкарыстоўваюцца ў наўтбуках, смартфонах і розных спажывецкіх прыладах, ад SmartTV да прылад інтэрнэту рэчаў. У прыватнасці, чыпы Broadcom прымяняюцца ў смартфонах такіх вытворцаў, як Apple, Samsumg і Huawei. Характэрна, што кампанія Broadcom была апавешчана аб уразлівасцях яшчэ ў верасні 2018 гады, але на скаардынаваны з вытворцамі абсталявання выпуск выпраўленняў спатрэбілася каля 7 месяцаў.
Дзве ўразлівасці закранаюць унутраныя прашыўкі і патэнцыйна дазваляюць выканаць код у асяроддзі выкарыстоўванай у чыпах Broadcom аперацыйнай сістэмы, што дазваляе атакаваць асяроддзі не выкарыстоўвалыя Linux (напрыклад, пацверджана магчымасць здзяйснення нападу на прылады Apple, ). Нагадаем, што некаторыя Wi-Fi чыпы Broadcom уяўляюць сабой спецыялізаваны працэсар (ARM Cortex R4 або M3), на якім выканаюцца падабенства сваёй аперацыйнай сістэмы з рэалізацый свайго бесправаднога стэка 802.11 (FullMAC). У такіх чыпах драйвер забяспечвае ўзаемадзеянне асноўнай сістэмы з прашыўкай Wi-Fi чыпа. Для атрымання поўнага кантролю за асноўнай сістэмай пасля кампраметацыі FullMAC прапануецца выкарыстоўваць дадатковыя ўразлівасці ці на некаторых чыпах скарыстацца наяўнасцю поўнага доступу да сістэмнай памяці. У чыпах з SoftMAC бесправадны стэк 802.11 рэалізаваны на баку драйвера і выконваецца з ужываннем сістэмнага CPU.
У драйверах уразлівасці выяўляюцца як у прапрыетарным драйверы wl (SoftMAC і FullMAC), так і ў адчыненым brcmfmac (FullMAC). У драйверы wl выяўлены два перапаўненні буфера, якія эксплуатуюцца пры перадачы кропкай доступу спецыяльна аформленых паведамленняў EAPOL у працэсе ўзгаднення злучэння (атака можа быць здзейснена пры падключэнні да шкоднаснай кропкі доступу). У выпадку чыпа з SoftMAC уразлівасці прыводзяць да кампраметацыі ядра сістэмы, а ў выпадку FullMAC код можа быць выкананы на боку прашыўкі. У brcmfmac прысутнічаюць перапаўненне буфера і памылка праверкі апрацоўваных кадраў, якія эксплуатуюцца праз адпраўку кіраўнікоў кадраў. У ядры Linux праблемы ў драйверы brcmfmac у лютым.
Выяўленыя ўразлівасці:
- CVE-2019-9503 - некарэктныя паводзіны драйвера brcmfmac пры апрацоўцы кіраўнікоў кадраў, якія выкарыстоўваюцца для ўзаемадзеяння з прашыўкай. Калі кадр з падзеяй прашыўкі паступае з вонкавай крыніцы драйвер яго адкідае, але ў выпадку, калі падзея атрымана па ўнутранай шыне, кадр прапускаецца. Праблема ў тым, што праз унутраную шыну перадаюцца падзеі ад прылад, якія выкарыстоўваюць USB, што дазваляе атакавалым паспяхова перадаваць кіраўнікі прашыўкай кадры ў выпадку выкарыстання бесправадных адаптараў з інтэрфейсам USB;
- CVE-2019-9500 – пры ўключэнні функцыі "Wake-up on Wireless LAN" можна выклікаць перапаўненне кучы ў драйверы brcmfmac (функцыя brcmf_wowl_nd_results) праз адпраўку спецыяльна змененага кіраўніка кадра. Дадзеная ўразлівасць можа выкарыстоўвацца для арганізацыі выканання кода ў асноўнай сістэме пасля кампраметацыі чыпа ці ў камбінацыі з уразлівасцю CVE-2019-9503 для абыходу праверак у выпадку выдаленай адпраўкі кіраўніка кадра;
- CVE-2019-9501 - перапаўненне буфера ў драйверы wl (функцыя wlc_wpa_sup_eapol), якое ўзнікае пры апрацоўцы паведамленняў, змесціва поля з інфармацыяй аб вытворцу ў якіх перавышае 32 байта;
- CVE-2019-9502 - перапаўненне буфера ў драйверы wl (функцыя wlc_wpa_plumb_gtk), якое ўзнікае пры апрацоўцы паведамленняў, змесціва поля з інфармацыяй аб вытворцу ў якіх перавышае 164 байта.
Крыніца: opennet.ru