I drivere til Broadcom trådløse chips fire . I det enkleste tilfælde kan sårbarhederne bruges til eksternt at forårsage et lammelsesangreb, men scenarier kan ikke udelukkes, hvor der kan udvikles udnyttelser, der tillader en uautoriseret angriber at eksekvere deres kode med Linux-kerneprivilegier ved at sende specialdesignede pakker.
Problemerne blev identificeret ved omvendt udvikling af Broadcom-firmwaren. De berørte chips bruges i vid udstrækning i bærbare computere, smartphones og en række forbrugerenheder, fra SmartTV'er til Internet of Things-enheder. Især Broadcom-chips bruges i smartphones fra producenter som Apple, Samsumg og Huawei. Det er bemærkelsesværdigt, at Broadcom blev underrettet om sårbarhederne tilbage i september 2018, men det tog omkring 7 måneder at frigive rettelser i samarbejde med udstyrsproducenter.
To sårbarheder påvirker intern firmware og muliggør, at kode kan eksekveres i miljøet i operativsystemet, der bruges i Broadcom-chips, hvilket gør det muligt at angribe miljøer, der ikke bruger Linux (f.eks. er muligheden for at angribe Apple-enheder blevet bekræftet ). Lad os huske på, at nogle Broadcom Wi-Fi-chips er en specialiseret processor (ARM Cortex R4 eller M3), som kører et lignende operativsystem med implementeringer af dens 802.11 trådløse stack (FullMAC). I sådanne chips sikrer driveren interaktion mellem hovedsystemet og Wi-Fi-chip-firmwaren. For at få fuld kontrol over hovedsystemet, efter at FullMAC er blevet kompromitteret, foreslås det at bruge yderligere sårbarheder eller, på nogle chips, at drage fordel af fuld adgang til systemhukommelsen. I chips med SoftMAC er den trådløse 802.11-stack implementeret på driversiden og eksekveret ved hjælp af systemets CPU.
Driversårbarheder forekommer i både den proprietære wl-driver (SoftMAC og FullMAC) og open source-brcmfmac (FullMAC). To bufferoverløb blev opdaget i wl-driveren, udnyttet, når adgangspunktet transmitterer specielt formaterede EAPOL-meddelelser under forbindelsesforhandlingsprocessen (angrebet kan udføres, når der oprettes forbindelse til et ondsindet adgangspunkt). I tilfælde af en chip med SoftMAC fører sårbarheder til kompromittering af systemkernen, og i tilfælde af FullMAC kan koden eksekveres på firmwaresiden. brcmfmac indeholder et bufferoverløb og en rammekontrolfejl, der udnyttes ved at sende kontrolrammer. Problemer med brcmfmac-driveren i Linux-kernen i februar.
Identificerede sårbarheder:
- CVE-2019-9503 - forkert opførsel af brcmfmac-driveren ved behandling af kontrolrammer, der bruges til at interagere med firmwaren. Hvis en ramme med en firmwarehændelse kommer fra en ekstern kilde, kasserer driveren den, men hvis hændelsen modtages via den interne bus, springes rammen over. Problemet er, at hændelser fra enheder, der bruger USB, transmitteres gennem den interne bus, hvilket gør det muligt for angribere at overføre firmwarekontrolrammer med succes, når de bruger trådløse adaptere med et USB-interface;
- CVE-2019-9500 – Når "Wake-up on Wireless LAN"-funktionen er aktiveret, er det muligt at forårsage et heap-overløb i brcmfmac-driveren (funktion brcmf_wowl_nd_results) ved at sende en specielt modificeret kontrolramme. Denne sårbarhed kan bruges til at organisere kodeudførelse i hovedsystemet, efter chippen er blevet kompromitteret eller i kombination med CVE-2019-9503 sårbarheden til at omgå kontrol i tilfælde af fjernafsendelse af en kontrolramme;
- CVE-2019-9501 - et bufferoverløb i wl-driveren (wlc_wpa_sup_eapol-funktionen), der opstår ved behandling af meddelelser, hvis producentinformationsfeltindhold overstiger 32 bytes;
- CVE-2019-9502 - Et bufferoverløb i wl-driveren (wlc_wpa_plumb_gtk-funktion) opstår, når der behandles meddelelser, hvis producentinformationsfeltindhold overstiger 164 bytes.
Kilde: opennet.ru