Broadcomi traadita kiipide draiverites neli . Lihtsamal juhul saab haavatavusi kasutada teenuse keelamise kaugjuhtimiseks, kuid välistada ei saa stsenaariume, mille puhul saab välja töötada ärakasutusi, mis võimaldavad autentimata ründajal käivitada oma koodi Linuxi kerneli privileegidega, saates selleks spetsiaalselt loodud pakette.
Probleemid tuvastati Broadcomi püsivara pöördprojekteerimise teel. Mõjutatud kiipe kasutatakse laialdaselt sülearvutites, nutitelefonides ja mitmesugustes tarbeseadmetes, alates nutiteleritest kuni asjade Interneti seadmeteni. Eelkõige kasutatakse Broadcomi kiipe selliste tootjate nutitelefonides nagu Apple, Samsumg ja Huawei. Tähelepanuväärne on see, et Broadcomi teavitati haavatavustest juba 2018. aasta septembris, kuid paranduste väljalaskmiseks kulus koostöös seadmete tootjatega umbes 7 kuud.
Kaks haavatavust mõjutavad sisemist püsivara ja võimaldavad potentsiaalselt koodi käivitada Broadcomi kiipides kasutatava operatsioonisüsteemi keskkonnas, mis võimaldab rünnata keskkondi, mis ei kasuta Linuxit (näiteks on kinnitust leidnud võimalus rünnata Apple'i seadmeid ). Tuletagem meelde, et mõned Broadcomi Wi-Fi kiibid on spetsiaalne protsessor (ARM Cortex R4 või M3), mis käitab sarnast operatsioonisüsteemi oma 802.11 juhtmevaba pinu (FullMAC) rakendustega. Sellistes kiipides tagab draiver põhisüsteemi koostoime Wi-Fi kiibi püsivaraga. Põhisüsteemi üle täieliku kontrolli saavutamiseks pärast FullMAC-i ohtu sattumist tehakse ettepanek kasutada täiendavaid turvaauke või mõne kiibi puhul kasutada täielikku juurdepääsu süsteemimälule. SoftMAC-iga kiipides rakendatakse 802.11 traadita virn draiveri poolel ja käivitatakse süsteemi CPU abil.
Draiveri haavatavused ilmnevad nii patenteeritud wl-draiveris (SoftMAC ja FullMAC) kui ka avatud lähtekoodiga brcmfmac-is (FullMAC). Wl-draiveris tuvastati kaks puhvri ületäitumist, mida kasutati ära, kui pääsupunkt saadab ühenduse läbirääkimisprotsessi ajal spetsiaalselt vormindatud EAPOL-sõnumeid (ründe saab läbi viia pahatahtliku pääsupunktiga ühenduse loomisel). SoftMAC-iga kiibi puhul viivad haavatavused süsteemituuma kompromiteerimiseni ja FullMAC-i puhul saab koodi käivitada püsivara poolel. brcmfmac sisaldab puhvri ületäitumist ja kaadrite kontrollimise viga, mida kasutatakse juhtkaadrite saatmisel. Probleemid brcmfmac draiveriga Linuxi tuumas veebruaris.
Tuvastatud haavatavused:
- CVE-2019-9503 – brcmfmac draiveri vale käitumine püsivaraga suhtlemiseks kasutatavate juhtraamide töötlemisel. Kui püsivara sündmusega kaader pärineb välisest allikast, loobub juht sellest, kuid kui sündmus võetakse vastu sisemise siini kaudu, jäetakse kaader vahele. Probleem on selles, et USB-d kasutavate seadmete sündmused edastatakse sisemise siini kaudu, mis võimaldab ründajatel USB-liidesega traadita adapterite kasutamisel edukalt edastada püsivara juhtraame;
- CVE-2019-9500 – kui funktsioon „Wake-up on Wireless LAN” on lubatud, on võimalik brcmfmaci draiveris (funktsioon brcmf_wowl_nd_results) tekitada kuhja ülevoolu, saates spetsiaalselt muudetud juhtraami. Seda haavatavust saab kasutada põhisüsteemis koodi täitmise korraldamiseks pärast kiibi ohtu sattumist või koos haavatavusega CVE-2019-9503, et vältida kontrolle juhtraami kaugsaatmise korral;
- CVE-2019-9501 – puhvri ületäitumine wl-draiveris (funktsioon wlc_wpa_sup_eapol), mis tekib sõnumite töötlemisel, mille tootja teabevälja sisu ületab 32 baiti;
- CVE-2019-9502 – puhvri ületäitumine wl-draiveris (funktsioon wlc_wpa_plumb_gtk) tekib sõnumite töötlemisel, mille tootja teabevälja sisu ületab 164 baiti.
Allikas: opennet.ru