V ovladačích pro bezdrátové čipy Broadcom čtyři . V nejjednodušším případě mohou být zranitelnosti použity ke vzdálenému odepření služby, ale nelze vyloučit scénáře, ve kterých lze vyvinout exploity, které umožní neověřenému útočníkovi spustit svůj kód s privilegii linuxového jádra odesíláním speciálně navržených paketů.
Problémy byly identifikovány reverzním inženýrstvím firmwaru Broadcom. Dotčené čipy jsou široce používány v noteboocích, chytrých telefonech a různých spotřebitelských zařízeních, od chytrých televizorů po zařízení internetu věcí. Čipy Broadcom se používají zejména v chytrých telefonech výrobců jako Apple, Samsumg a Huawei. Je pozoruhodné, že Broadcom byl upozorněn na zranitelnosti již v září 2018, ale vydání oprav v koordinaci s výrobci zařízení trvalo asi 7 měsíců.
Dvě zranitelnosti ovlivňují interní firmware a potenciálně umožňují spouštění kódu v prostředí operačního systému používaného v čipech Broadcom, což umožňuje útočit na prostředí, která nepoužívají Linux (např. byla potvrzena možnost napadení zařízení Apple ). Připomeňme, že některé čipy Broadcom Wi-Fi jsou specializovaným procesorem (ARM Cortex R4 nebo M3), na kterém běží podobný operační systém s implementacemi jeho bezdrátového stacku 802.11 (FullMAC). V takových čipech ovladač zajišťuje interakci hlavního systému s firmwarem čipu Wi-Fi. Pro získání plné kontroly nad hlavním systémem poté, co byl FullMAC kompromitován, se navrhuje použít další zranitelnosti nebo u některých čipů využít plný přístup k systémové paměti. V čipech se SoftMAC je bezdrátový stack 802.11 implementován na straně ovladače a spouštěn pomocí systémového CPU.
Chyby zabezpečení ovladače se objevují jak v proprietárním ovladači wl (SoftMAC a FullMAC), tak v open source brcmfmac (FullMAC). V ovladači wl byly detekovány dvě přetečení vyrovnávací paměti, která byla zneužita, když přístupový bod přenáší speciálně formátované zprávy EAPOL během procesu vyjednávání o připojení (útok lze provést při připojení ke škodlivému přístupovému bodu). V případě čipu se SoftMAC vedou zranitelnosti ke kompromitaci jádra systému a v případě FullMAC lze kód spustit na straně firmwaru. brcmfmac obsahuje přetečení vyrovnávací paměti a chybu kontroly rámce zneužitou odesíláním řídicích snímků. Problémy s ovladačem brcmfmac v jádře Linuxu v únoru.
Zjištěná zranitelnost:
- CVE-2019-9503 - nesprávné chování ovladače brcmfmac při zpracování řídicích rámců používaných k interakci s firmwarem. Pokud rámec s událostí firmwaru přichází z externího zdroje, ovladač jej zahodí, ale pokud je událost přijata přes interní sběrnici, rámec je přeskočen. Problém je v tom, že události ze zařízení využívajících USB jsou přenášeny přes interní sběrnici, což umožňuje útočníkům úspěšně přenášet řídicí rámce firmwaru při použití bezdrátových adaptérů s rozhraním USB;
- CVE-2019-9500 – Když je povolena funkce „Wake-up on Wireless LAN“, je možné způsobit přetečení haldy v ovladači brcmfmac (funkce brcmf_wowl_nd_results) odesláním speciálně upraveného řídicího rámce. Tuto chybu zabezpečení lze použít k organizaci spuštění kódu v hlavním systému poté, co byl čip kompromitován, nebo v kombinaci se zranitelností CVE-2019-9503 k obcházení kontrol v případě vzdáleného odeslání řídicího rámce;
- CVE-2019-9501 – přetečení vyrovnávací paměti v ovladači wl (funkce wlc_wpa_sup_eapol), ke kterému dochází při zpracování zpráv, jejichž obsah pole informací o výrobci přesahuje 32 bajtů;
- CVE-2019-9502 – K přetečení vyrovnávací paměti v ovladači wl (funkce wlc_wpa_plumb_gtk) dochází při zpracování zpráv, jejichž obsah pole s informacemi o výrobci přesahuje 164 bajtů.
Zdroj: opennet.ru