En els controladors per a xips sense fil Broadcom
Els problemes es van identificar mitjançant l'enginyeria inversa del firmware de Broadcom. Els xips afectats s'utilitzen àmpliament en ordinadors portàtils, telèfons intel·ligents i una varietat de dispositius de consum, des de SmartTV fins a dispositius d'Internet de les coses. En particular, els xips Broadcom s'utilitzen en telèfons intel·ligents de fabricants com Apple, Samsumg i Huawei. Cal destacar que Broadcom va rebre una notificació de les vulnerabilitats el setembre de 2018, però va trigar uns 7 mesos a publicar solucions en coordinació amb els fabricants d'equips.
Dues vulnerabilitats afecten el microprogramari intern i permeten potencialment executar codi a l'entorn del sistema operatiu utilitzat en xips Broadcom, fet que permet atacar entorns que no utilitzen Linux (per exemple, s'ha confirmat la possibilitat d'atacar dispositius Apple).
Les vulnerabilitats del controlador apareixen tant al controlador wl propietari (SoftMAC i FullMAC) com al brcmfmac de codi obert (FullMAC). Es van detectar dos desbordaments de memòria intermèdia al controlador wl, explotats quan el punt d'accés transmet missatges EAPOL amb un format especial durant el procés de negociació de la connexió (l'atac es pot dur a terme en connectar-se a un punt d'accés maliciós). En el cas d'un xip amb SoftMAC, les vulnerabilitats porten a comprometre el nucli del sistema, i en el cas de FullMAC, el codi es pot executar al costat del microprogramari. brcmfmac conté un desbordament de memòria intermèdia i un error de comprovació de trames aprofitat per l'enviament de marcs de control. Problemes amb el controlador brcmfmac al nucli Linux
Vulnerabilitats identificades:
- CVE-2019-9503: comportament incorrecte del controlador brcmfmac quan es processen els marcs de control utilitzats per interactuar amb el microprogramari. Si una trama amb un esdeveniment de firmware prové d'una font externa, el controlador la descarta, però si l'esdeveniment es rep a través del bus intern, la trama es salta. El problema és que els esdeveniments dels dispositius que utilitzen USB es transmeten a través del bus intern, que permet als atacants transmetre amb èxit marcs de control de microprogramari quan s'utilitzen adaptadors sense fil amb una interfície USB;
- CVE-2019-9500: quan la funció "Despertar a la LAN sense fil" està habilitada, és possible que es produeixi un desbordament de pila al controlador brcmfmac (funció brcmf_wowl_nd_results) enviant un marc de control especialment modificat. Aquesta vulnerabilitat es pot utilitzar per organitzar l'execució de codi al sistema principal després que el xip s'hagi compromès o en combinació amb la vulnerabilitat CVE-2019-9503 per evitar comprovacions en cas d'enviament remot d'un marc de control;
- CVE-2019-9501: un desbordament de memòria intermèdia al controlador wl (la funció wlc_wpa_sup_eapol) que es produeix quan es processen missatges el contingut del camp d'informació del fabricant supera els 32 bytes;
- CVE-2019-9502: es produeix un desbordament de memòria intermèdia al controlador wl (funció wlc_wpa_plumb_gtk) quan es processen missatges el contingut del camp d'informació del fabricant supera els 164 bytes.
Font: opennet.ru