Broadcom haririk gabeko txipetarako kontrolatzaileetan
Arazoak Broadcom firmwarearen alderantzizko ingeniaritzaren bidez identifikatu ziren. Eragindako txipak oso erabiliak dira ordenagailu eramangarrietan, telefono adimendunetan eta hainbat kontsumo-gailutan, SmartTVetatik hasi eta Gauzen Interneteko gailuetara. Bereziki, Broadcom txipak Apple, Samsumg eta Huawei bezalako fabrikatzaileen telefono adimendunetan erabiltzen dira. Aipagarria da 2018ko irailean Broadcom-i ahultasunen berri eman ziotela, baina 7 hilabete inguru behar izan zituen konponketak askatzeko ekipoen fabrikatzaileekin koordinatuta.
Bi ahultasunek barne firmwareari eragiten diote eta balizko kodea Broadcom txipetan erabiltzen den sistema eragilearen ingurunean exekutatzeko aukera ematen dute, eta horrek Linux erabiltzen ez duten inguruneei erasotzea ahalbidetzen du (adibidez, Apple gailuak erasotzeko aukera baieztatu da.
Gidariaren ahultasunak wl kontrolatzaile jabedunean (SoftMAC eta FullMAC) zein kode irekiko brcmfmac (FullMAC) agertzen dira. Bi buffer gainezka detektatu ziren wl kontrolatzailean, sarbide-puntuak bereziki formateatutako EAPOL mezuak igortzen dituenean konexioa negoziatzeko prozesuan (erasoa maltzurren sarbide-puntu batera konektatzean egin daiteke). SoftMAC duen txip baten kasuan, ahultasunek sistemaren nukleoa arriskuan jartzen dute, eta FullMAC-en kasuan, kodea firmware aldean exekutatu daiteke. brcmfmac-ek buffer gainezka eta kontrol-markoak bidaltzean ustiatutako markoak egiaztatzeko errore bat ditu. Arazoak Linux nukleoan brcmfmac kontrolatzailearekin
Identifikatutako ahultasunak:
- CVE-2019-9503 - brcmfmac kontrolatzailearen portaera okerra firmwarearekin elkarreragiteko erabiltzen diren kontrol-markoak prozesatzen dituenean. Firmware-gertaera bat duen fotograma kanpoko iturri batetik badator, gidariak baztertzen du, baina gertaera barne-busaren bidez jasotzen bada, fotograma saltatzen da. Arazoa da USBa erabiltzen duten gailuetako gertaerak barne-busaren bidez transmititzen direla, eta horri esker, erasotzaileek firmware-kontroleko markoak behar bezala transmititu ditzakete USB interfazea duten haririk gabeko egokitzaileak erabiltzean;
- CVE-2019-9500 - "Esnatu Haririk gabeko LAN" funtzioa gaituta dagoenean, posible da brcmfmac kontrolatzailean (brcmf_wowl_nd_results funtzioa) gehiegizko gainezka egitea, bereziki aldatutako kontrol-markoa bidaliz. Ahultasun hau txipa arriskuan egon ondoren sistema nagusian kodearen exekuzioa antolatzeko erabil daiteke edo CVE-2019-9503 ahultasunarekin konbinatuta, egiaztapenak saihesteko kontrol-markoa urrutiko bidalketa gertatuz gero;
- CVE-2019-9501 - wl kontrolatzailean (wlc_wpa_sup_eapol funtzioa) buffer gainezkatzea, fabrikatzailearen informazio eremuaren edukiak 32 byte baino gehiago dituen mezuak prozesatzen direnean;
- CVE-2019-9502 - wl kontrolatzailean (wlc_wpa_plumb_gtk funtzioa) buffer gainezkatzea gertatzen da fabrikatzailearen informazio eremuaren edukiak 164 byte baino gehiago dituen mezuak prozesatzen direnean.
Iturria: opennet.ru