V ovladačích pro bezdrátové čipy Broadcom čtyři V nejjednodušším případě lze zranitelnosti použít k vyvolání vzdáleného odmítnutí služby, ale nelze vyloučit scénáře, ve kterých lze vyvinout zneužití, které neověřenému útočníkovi umožní spustit jeho kód s oprávněními jádra. Linux zasláním speciálně navržených balíčků.
Problémy byly identifikovány reverzním inženýrstvím firmwaru Broadcom. Dotčené čipy jsou široce používány v noteboocích, chytrých telefonech a různých spotřebitelských zařízeních, od chytrých televizorů po zařízení internetu věcí. Čipy Broadcom se používají zejména v chytrých telefonech výrobců jako Apple, Samsumg a Huawei. Je pozoruhodné, že Broadcom byl upozorněn na zranitelnosti již v září 2018, ale vydání oprav v koordinaci s výrobci zařízení trvalo asi 7 měsíců.
Dvě zranitelnosti ovlivňují interní firmware a potenciálně umožňují spuštění kódu v prostředí operačního systému používaného v čipech Broadcom, což umožňuje útoky na prostředí, která nepoužívají Linux (například byla potvrzena možnost útoku na zařízení Apple, ). Připomeňme, že některé čipy Broadcom Wi-Fi jsou specializovaným procesorem (ARM Cortex R4 nebo M3), na kterém běží podobný operační systém s implementacemi jeho bezdrátového stacku 802.11 (FullMAC). V takových čipech ovladač zajišťuje interakci hlavního systému s firmwarem čipu Wi-Fi. Pro získání plné kontroly nad hlavním systémem poté, co byl FullMAC kompromitován, se navrhuje použít další zranitelnosti nebo u některých čipů využít plný přístup k systémové paměti. V čipech se SoftMAC je bezdrátový stack 802.11 implementován na straně ovladače a spouštěn pomocí systémového CPU.
Zranitelnosti ovladačů postihují jak proprietární ovladač wl (SoftMAC a FullMAC), tak i open-source brcmfmac (FullMAC). V ovladači wl byly detekovány dvě přetečení vyrovnávací paměti, která jsou zneužívána, když přístupový bod během vyjednávání připojení odesílá speciálně vytvořené zprávy EAPOL (útok může být proveden při připojení ke škodlivému přístupovému bodu). V případě čipu SoftMAC vedou zranitelnosti ke kompromitaci jádra, zatímco v případě FullMAC může dojít ke spuštění kódu ve firmwaru. V brcmfmac je přítomno přetečení vyrovnávací paměti a chyba validace rámců, které jsou zneužívány k odesílání řídicích rámců. V jádře Linux problémy s ovladačem brcmfmac v únoru.
Zjištěná zranitelnost:
- CVE-2019-9503 - nesprávné chování ovladače brcmfmac při zpracování řídicích rámců používaných k interakci s firmwarem. Pokud rámec s událostí firmwaru přichází z externího zdroje, ovladač jej zahodí, ale pokud je událost přijata přes interní sběrnici, rámec je přeskočen. Problém je v tom, že události ze zařízení využívajících USB jsou přenášeny přes interní sběrnici, což umožňuje útočníkům úspěšně přenášet řídicí rámce firmwaru při použití bezdrátových adaptérů s rozhraním USB;
- CVE-2019-9500 – Když je povolena funkce „Wake-up on Wireless LAN“, je možné způsobit přetečení haldy v ovladači brcmfmac (funkce brcmf_wowl_nd_results) odesláním speciálně upraveného řídicího rámce. Tuto chybu zabezpečení lze použít k organizaci spuštění kódu v hlavním systému poté, co byl čip kompromitován, nebo v kombinaci se zranitelností CVE-2019-9503 k obcházení kontrol v případě vzdáleného odeslání řídicího rámce;
- CVE-2019-9501 – přetečení vyrovnávací paměti v ovladači wl (funkce wlc_wpa_sup_eapol), ke kterému dochází při zpracování zpráv, jejichž obsah pole informací o výrobci přesahuje 32 bajtů;
- CVE-2019-9502 – K přetečení vyrovnávací paměti v ovladači wl (funkce wlc_wpa_plumb_gtk) dochází při zpracování zpráv, jejichž obsah pole s informacemi o výrobci přesahuje 164 bajtů.
Zdroj: opennet.ru
