In Treibern für Broadcom-Wireless-Chips vier . Im einfachsten Fall können die Schwachstellen ausgenutzt werden, um aus der Ferne einen Denial-of-Service auszulösen. Allerdings sind Szenarien nicht auszuschließen, in denen Exploits entwickelt werden können, die es einem nicht authentifizierten Angreifer ermöglichen, seinen Code mit Linux-Kernel-Berechtigungen auszuführen, indem sie speziell entwickelte Pakete versenden.
Die Probleme wurden durch Reverse Engineering der Broadcom-Firmware identifiziert. Die betroffenen Chips werden häufig in Laptops, Smartphones und einer Vielzahl von Verbrauchergeräten verwendet, von SmartTVs bis hin zu Geräten für das Internet der Dinge. Broadcom-Chips kommen insbesondere in Smartphones von Herstellern wie Apple, Samsung und Huawei zum Einsatz. Bemerkenswert ist, dass Broadcom bereits im September 2018 über die Schwachstellen informiert wurde, es jedoch etwa sieben Monate dauerte, bis in Abstimmung mit den Geräteherstellern Korrekturen veröffentlicht wurden.
Zwei Schwachstellen betreffen die interne Firmware und ermöglichen möglicherweise die Ausführung von Code in der Umgebung des in Broadcom-Chips verwendeten Betriebssystems, wodurch es möglich ist, Umgebungen anzugreifen, die kein Linux verwenden (z. B. wurde die Möglichkeit eines Angriffs auf Apple-Geräte bestätigt). ). Erinnern wir uns daran, dass es sich bei einigen Wi-Fi-Chips von Broadcom um einen spezialisierten Prozessor (ARM Cortex R4 oder M3) handelt, auf dem ein ähnliches Betriebssystem mit Implementierungen seines 802.11-Wireless-Stacks (FullMAC) läuft. Bei solchen Chips sorgt der Treiber für die Interaktion des Hauptsystems mit der Wi-Fi-Chip-Firmware. Um die volle Kontrolle über das Hauptsystem zu erlangen, nachdem FullMAC kompromittiert wurde, wird vorgeschlagen, zusätzliche Schwachstellen zu nutzen oder bei einigen Chips den vollen Zugriff auf den Systemspeicher zu nutzen. Bei Chips mit SoftMAC wird der 802.11 Wireless Stack treiberseitig implementiert und über die System-CPU ausgeführt.
Treiberschwachstellen treten sowohl im proprietären wl-Treiber (SoftMAC und FullMAC) als auch im Open-Source-brcmfmac (FullMAC) auf. Im wl-Treiber wurden zwei Pufferüberläufe erkannt, die ausgenutzt werden, wenn der Access Point während des Verbindungsaushandlungsprozesses speziell formatierte EAPOL-Nachrichten sendet (der Angriff kann ausgeführt werden, wenn eine Verbindung zu einem böswilligen Access Point hergestellt wird). Bei einem Chip mit SoftMAC führen Schwachstellen zur Kompromittierung des Systemkernels und bei FullMAC kann der Code auf der Firmware-Seite ausgeführt werden. brcmfmac enthält einen Pufferüberlauf und einen Frame-Überprüfungsfehler, der durch das Senden von Kontrollframes ausgenutzt wird. Probleme mit dem brcmfmac-Treiber im Linux-Kernel im Februar.
Identifizierte Schwachstellen:
- CVE-2019-9503 – Falsches Verhalten des brcmfmac-Treibers bei der Verarbeitung von Steuerrahmen, die zur Interaktion mit der Firmware verwendet werden. Wenn ein Frame mit einem Firmware-Ereignis von einer externen Quelle stammt, verwirft der Treiber ihn. Wenn das Ereignis jedoch über den internen Bus empfangen wird, wird der Frame übersprungen. Das Problem besteht darin, dass Ereignisse von Geräten, die USB verwenden, über den internen Bus übertragen werden, was es Angreifern ermöglicht, erfolgreich Firmware-Kontrollrahmen zu übertragen, wenn drahtlose Adapter mit USB-Schnittstelle verwendet werden;
- CVE-2019-9500 – Wenn die Funktion „Wake-up on Wireless LAN“ aktiviert ist, kann es durch das Senden eines speziell modifizierten Kontrollrahmens zu einem Heap-Überlauf im brcmfmac-Treiber (Funktion brcmf_wowl_nd_results) kommen. Diese Schwachstelle kann genutzt werden, um die Codeausführung im Hauptsystem zu organisieren, nachdem der Chip kompromittiert wurde, oder in Kombination mit der Schwachstelle CVE-2019-9503, um Prüfungen beim Remote-Versenden eines Kontrollrahmens zu umgehen;
- CVE-2019-9501 – ein Pufferüberlauf im WL-Treiber (der Funktion wlc_wpa_sup_eapol), der bei der Verarbeitung von Nachrichten auftritt, deren Inhalt des Herstellerinformationsfelds 32 Byte überschreitet;
- CVE-2019-9502 – Ein Pufferüberlauf im WL-Treiber (Funktion wlc_wpa_plumb_gtk) tritt auf, wenn Nachrichten verarbeitet werden, deren Inhalt des Herstellerinformationsfelds 164 Byte überschreitet.
Source: opennet.ru