In Treibern für Broadcom-Wireless-Chips
Die Probleme wurden durch Reverse Engineering der Broadcom-Firmware identifiziert. Die betroffenen Chips werden häufig in Laptops, Smartphones und einer Vielzahl von Verbrauchergeräten verwendet, von SmartTVs bis hin zu Geräten für das Internet der Dinge. Broadcom-Chips kommen insbesondere in Smartphones von Herstellern wie Apple, Samsung und Huawei zum Einsatz. Bemerkenswert ist, dass Broadcom bereits im September 2018 über die Schwachstellen informiert wurde, es jedoch etwa sieben Monate dauerte, bis in Abstimmung mit den Geräteherstellern Korrekturen veröffentlicht wurden.
Zwei Schwachstellen betreffen die interne Firmware und ermöglichen möglicherweise die Ausführung von Code in der Umgebung des in Broadcom-Chips verwendeten Betriebssystems, wodurch es möglich ist, Umgebungen anzugreifen, die kein Linux verwenden (z. B. wurde die Möglichkeit eines Angriffs auf Apple-Geräte bestätigt).
Treiberschwachstellen treten sowohl im proprietären wl-Treiber (SoftMAC und FullMAC) als auch im Open-Source-brcmfmac (FullMAC) auf. Im wl-Treiber wurden zwei Pufferüberläufe erkannt, die ausgenutzt werden, wenn der Access Point während des Verbindungsaushandlungsprozesses speziell formatierte EAPOL-Nachrichten sendet (der Angriff kann ausgeführt werden, wenn eine Verbindung zu einem böswilligen Access Point hergestellt wird). Bei einem Chip mit SoftMAC führen Schwachstellen zur Kompromittierung des Systemkernels und bei FullMAC kann der Code auf der Firmware-Seite ausgeführt werden. brcmfmac enthält einen Pufferüberlauf und einen Frame-Überprüfungsfehler, der durch das Senden von Kontrollframes ausgenutzt wird. Probleme mit dem brcmfmac-Treiber im Linux-Kernel
Identifizierte Schwachstellen:
- CVE-2019-9503 – Falsches Verhalten des brcmfmac-Treibers bei der Verarbeitung von Steuerrahmen, die zur Interaktion mit der Firmware verwendet werden. Wenn ein Frame mit einem Firmware-Ereignis von einer externen Quelle stammt, verwirft der Treiber ihn. Wenn das Ereignis jedoch über den internen Bus empfangen wird, wird der Frame übersprungen. Das Problem besteht darin, dass Ereignisse von Geräten, die USB verwenden, über den internen Bus übertragen werden, was es Angreifern ermöglicht, erfolgreich Firmware-Kontrollrahmen zu übertragen, wenn drahtlose Adapter mit USB-Schnittstelle verwendet werden;
- CVE-2019-9500 – Wenn die Funktion „Wake-up on Wireless LAN“ aktiviert ist, kann es durch das Senden eines speziell modifizierten Kontrollrahmens zu einem Heap-Überlauf im brcmfmac-Treiber (Funktion brcmf_wowl_nd_results) kommen. Diese Schwachstelle kann genutzt werden, um die Codeausführung im Hauptsystem zu organisieren, nachdem der Chip kompromittiert wurde, oder in Kombination mit der Schwachstelle CVE-2019-9503, um Prüfungen beim Remote-Versenden eines Kontrollrahmens zu umgehen;
- CVE-2019-9501 – ein Pufferüberlauf im WL-Treiber (der Funktion wlc_wpa_sup_eapol), der bei der Verarbeitung von Nachrichten auftritt, deren Inhalt des Herstellerinformationsfelds 32 Byte überschreitet;
- CVE-2019-9502 – Ein Pufferüberlauf im WL-Treiber (Funktion wlc_wpa_plumb_gtk) tritt auf, wenn Nachrichten verarbeitet werden, deren Inhalt des Herstellerinformationsfelds 164 Byte überschreitet.
Source: opennet.ru