En els controladors per a xips sense fil Broadcom quatre . En el cas més senzill, les vulnerabilitats es poden utilitzar per provocar de forma remota una denegació de servei, però no es poden excloure escenaris en què es poden desenvolupar exploits que permetin a un atacant no autenticat executar el seu codi amb privilegis del nucli de Linux enviant paquets especialment dissenyats.
Els problemes es van identificar mitjançant l'enginyeria inversa del firmware de Broadcom. Els xips afectats s'utilitzen àmpliament en ordinadors portàtils, telèfons intel·ligents i una varietat de dispositius de consum, des de SmartTV fins a dispositius d'Internet de les coses. En particular, els xips Broadcom s'utilitzen en telèfons intel·ligents de fabricants com Apple, Samsumg i Huawei. Cal destacar que Broadcom va rebre una notificació de les vulnerabilitats el setembre de 2018, però va trigar uns 7 mesos a publicar solucions en coordinació amb els fabricants d'equips.
Dues vulnerabilitats afecten el microprogramari intern i permeten potencialment executar codi a l'entorn del sistema operatiu utilitzat en xips Broadcom, fet que permet atacar entorns que no utilitzen Linux (per exemple, s'ha confirmat la possibilitat d'atacar dispositius Apple). ). Recordem que alguns xips Wi-Fi de Broadcom són un processador especialitzat (ARM Cortex R4 o M3), que executa un sistema operatiu similar amb implementacions de la seva pila sense fil 802.11 (FullMAC). En aquests xips, el controlador garanteix la interacció del sistema principal amb el microprogramari del xip Wi-Fi. Per obtenir el control total sobre el sistema principal després que FullMAC s'hagi compromès, es proposa utilitzar vulnerabilitats addicionals o, en alguns xips, aprofitar l'accés total a la memòria del sistema. En xips amb SoftMAC, la pila sense fil 802.11 s'implementa al costat del controlador i s'executa mitjançant la CPU del sistema.
Les vulnerabilitats del controlador apareixen tant al controlador wl propietari (SoftMAC i FullMAC) com al brcmfmac de codi obert (FullMAC). Es van detectar dos desbordaments de memòria intermèdia al controlador wl, explotats quan el punt d'accés transmet missatges EAPOL amb un format especial durant el procés de negociació de la connexió (l'atac es pot dur a terme en connectar-se a un punt d'accés maliciós). En el cas d'un xip amb SoftMAC, les vulnerabilitats porten a comprometre el nucli del sistema, i en el cas de FullMAC, el codi es pot executar al costat del microprogramari. brcmfmac conté un desbordament de memòria intermèdia i un error de comprovació de trames aprofitat per l'enviament de marcs de control. Problemes amb el controlador brcmfmac al nucli Linux al febrer.
Vulnerabilitats identificades:
- CVE-2019-9503: comportament incorrecte del controlador brcmfmac quan es processen els marcs de control utilitzats per interactuar amb el microprogramari. Si una trama amb un esdeveniment de firmware prové d'una font externa, el controlador la descarta, però si l'esdeveniment es rep a través del bus intern, la trama es salta. El problema és que els esdeveniments dels dispositius que utilitzen USB es transmeten a través del bus intern, que permet als atacants transmetre amb èxit marcs de control de microprogramari quan s'utilitzen adaptadors sense fil amb una interfície USB;
- CVE-2019-9500: quan la funció "Despertar a la LAN sense fil" està habilitada, és possible que es produeixi un desbordament de pila al controlador brcmfmac (funció brcmf_wowl_nd_results) enviant un marc de control especialment modificat. Aquesta vulnerabilitat es pot utilitzar per organitzar l'execució de codi al sistema principal després que el xip s'hagi compromès o en combinació amb la vulnerabilitat CVE-2019-9503 per evitar comprovacions en cas d'enviament remot d'un marc de control;
- CVE-2019-9501: un desbordament de memòria intermèdia al controlador wl (la funció wlc_wpa_sup_eapol) que es produeix quan es processen missatges el contingut del camp d'informació del fabricant supera els 32 bytes;
- CVE-2019-9502: es produeix un desbordament de memòria intermèdia al controlador wl (funció wlc_wpa_plumb_gtk) quan es processen missatges el contingut del camp d'informació del fabricant supera els 164 bytes.
Font: opennet.ru