U drajverima za Broadcom bežične čipove četiri . U najjednostavnijem slučaju, ranjivosti se mogu koristiti za daljinsko izazivanje uskraćivanja usluge, ali se ne mogu isključiti scenariji u kojima se mogu razviti exploitovi koji omogućavaju neovlaštenom napadaču da izvrši svoj kod s privilegijama Linux kernela slanjem posebno dizajniranih paketa.
Problemi su identifikovani obrnutim inženjeringom firmvera Broadcom. Pogođeni čipovi se široko koriste u laptopima, pametnim telefonima i raznim potrošačkim uređajima, od SmartTV-a do uređaja za Internet stvari. Konkretno, Broadcom čipovi se koriste u pametnim telefonima proizvođača kao što su Apple, Samsumg i Huawei. Važno je napomenuti da je Broadcom bio obaviješten o ranjivosti još u septembru 2018. godine, ali je bilo potrebno oko 7 mjeseci da objavi popravke u koordinaciji s proizvođačima opreme.
Dvije ranjivosti utiču na interni firmver i potencijalno dozvoljavaju izvršavanje koda u okruženju operativnog sistema koji se koristi u Broadcom čipovima, što omogućava napad na okruženja koja ne koriste Linux (na primjer, potvrđena je mogućnost napada na Apple uređaje ). Podsetimo se da su neki Broadcom Wi-Fi čipovi specijalizovani procesor (ARM Cortex R4 ili M3), koji pokreće sličan operativni sistem sa implementacijom svog 802.11 bežičnog steka (FullMAC). U takvim čipovima drajver osigurava interakciju glavnog sistema sa firmverom Wi-Fi čipa. Za potpunu kontrolu nad glavnim sistemom nakon kompromitovanja FullMAC-a, predlaže se korištenje dodatnih ranjivosti ili, na nekim čipovima, iskorištavanje punog pristupa sistemskoj memoriji. U čipovima sa SoftMAC-om, 802.11 bežični stek je implementiran na strani drajvera i izvršava se pomoću sistemskog CPU-a.
Ranjivosti drajvera se pojavljuju i u vlasničkom drajveru wl (SoftMAC i FullMAC) iu otvorenom kodu brcmfmac (FullMAC). Dva prekoračenja bafera su otkrivena u wl drajveru, iskorišćena kada pristupna tačka prenosi posebno formatirane EAPOL poruke tokom procesa pregovaranja o povezivanju (napad se može izvesti kada se povezuje sa zlonamernom pristupnom tačkom). U slučaju čipa sa SoftMAC-om, ranjivosti dovode do kompromitovanja kernela sistema, au slučaju FullMAC-a, kod se može izvršiti na strani firmvera. brcmfmac sadrži prekoračenje bafera i grešku u provjeravanju okvira koja se iskorištava slanjem kontrolnih okvira. Problemi sa brcmfmac drajverom u Linux kernelu u februaru.
Identifikovane ranjivosti:
- CVE-2019-9503 - pogrešno ponašanje brcmfmac drajvera prilikom obrade kontrolnih okvira koji se koriste za interakciju sa firmverom. Ako okvir sa događajem firmvera dolazi iz eksternog izvora, drajver ga odbacuje, ali ako je događaj primljen preko interne magistrale, okvir se preskače. Problem je u tome što se događaji sa uređaja koji koriste USB prenose kroz internu magistralu, što omogućava napadačima da uspješno prenesu upravljačke okvire firmvera kada koriste bežične adaptere sa USB interfejsom;
- CVE-2019-9500 – Kada je funkcija „Buđenje na bežičnom LAN-u“ omogućena, moguće je izazvati prelivanje hrpe u drajveru brcmfmac (funkcija brcmf_wowl_nd_results) slanjem posebno modificiranog kontrolnog okvira. Ova ranjivost se može koristiti za organizovanje izvršavanja koda u glavnom sistemu nakon što je čip kompromitovan ili u kombinaciji sa CVE-2019-9503 ranjivosti za zaobilaženje provera u slučaju daljinskog slanja kontrolnog okvira;
- CVE-2019-9501 - prelivanje bafera u wl drajveru (funkcija wlc_wpa_sup_eapol) do kojeg dolazi prilikom obrade poruka čiji sadržaj polja informacija o proizvođaču prelazi 32 bajta;
- CVE-2019-9502 - Prelivanje bafera u wl drajveru (funkcija wlc_wpa_plumb_gtk) nastaje prilikom obrade poruka čiji sadržaj polja informacija o proizvođaču prelazi 164 bajta.
izvor: opennet.ru