En controladores para chips inalámbricos Broadcom cuatro . En el caso más simple, las vulnerabilidades se pueden utilizar para provocar de forma remota una denegación de servicio, pero no se pueden excluir escenarios en los que se puedan desarrollar exploits que permitan a un atacante no autenticado ejecutar su código con privilegios del kernel de Linux mediante el envío de paquetes especialmente diseñados.
Los problemas se identificaron mediante ingeniería inversa del firmware de Broadcom. Los chips afectados se utilizan ampliamente en computadoras portátiles, teléfonos inteligentes y una variedad de dispositivos de consumo, desde SmartTV hasta dispositivos de Internet de las cosas. En particular, los chips Broadcom se utilizan en teléfonos inteligentes de fabricantes como Apple, Samsumg y Huawei. Cabe destacar que Broadcom fue notificada de las vulnerabilidades en septiembre de 2018, pero tardó unos 7 meses en publicar las correcciones en coordinación con los fabricantes de equipos.
Dos vulnerabilidades afectan al firmware interno y potencialmente permiten ejecutar código en el entorno del sistema operativo utilizado en los chips Broadcom, lo que permite atacar entornos que no utilizan Linux (por ejemplo, se ha confirmado la posibilidad de atacar dispositivos Apple). ). Recordemos que algunos chips Broadcom Wi-Fi son un procesador especializado (ARM Cortex R4 o M3), que ejecuta un sistema operativo similar con implementaciones de su pila inalámbrica 802.11 (FullMAC). En dichos chips, el controlador garantiza la interacción del sistema principal con el firmware del chip Wi-Fi. Para obtener un control total sobre el sistema principal después de que FullMAC se haya visto comprometido, se propone utilizar vulnerabilidades adicionales o, en algunos chips, aprovechar el acceso completo a la memoria del sistema. En los chips con SoftMAC, la pila inalámbrica 802.11 se implementa en el lado del controlador y se ejecuta mediante la CPU del sistema.
Las vulnerabilidades del controlador ocurren tanto en el controlador wl propietario (SoftMAC y FullMAC) como en el brcmfmac de código abierto (FullMAC). Se detectaron dos desbordamientos de búfer en el controlador wl, explotados cuando el punto de acceso transmite mensajes EAPOL con formato especial durante el proceso de negociación de la conexión (el ataque puede llevarse a cabo al conectarse a un punto de acceso malicioso). En el caso de un chip con SoftMAC, las vulnerabilidades comprometen el núcleo del sistema, y en el caso de FullMAC, el código se puede ejecutar en el lado del firmware. brcmfmac contiene un desbordamiento del búfer y un error de comprobación de tramas que se aprovecha al enviar tramas de control. Problemas con el controlador brcmfmac en el kernel de Linux en febrero.
Vulnerabilidades identificadas:
- CVE-2019-9503: comportamiento incorrecto del controlador brcmfmac al procesar marcos de control utilizados para interactuar con el firmware. Si una trama con un evento de firmware proviene de una fuente externa, el controlador la descarta, pero si el evento se recibe a través del bus interno, la trama se omite. El problema es que los eventos de dispositivos que utilizan USB se transmiten a través del bus interno, lo que permite a los atacantes transmitir con éxito tramas de control de firmware cuando utilizan adaptadores inalámbricos con interfaz USB;
- CVE-2019-9500: cuando la función "Reactivación en LAN inalámbrica" está habilitada, es posible provocar un desbordamiento del montón en el controlador brcmfmac (función brcmf_wowl_nd_results) enviando un marco de control especialmente modificado. Esta vulnerabilidad se puede utilizar para organizar la ejecución del código en el sistema principal después de que el chip se haya visto comprometido o en combinación con la vulnerabilidad CVE-2019-9503 para eludir las comprobaciones en caso de envío remoto de una trama de control;
- CVE-2019-9501: un desbordamiento del búfer en el controlador wl (la función wlc_wpa_sup_eapol) que ocurre al procesar mensajes cuyo contenido del campo de información del fabricante excede los 32 bytes;
- CVE-2019-9502: se produce un desbordamiento del búfer en el controlador wl (función wlc_wpa_plumb_gtk) al procesar mensajes cuyo contenido del campo de información del fabricante supera los 164 bytes.
Fuente: opennet.ru