Broadcom haririk gabeko txipetarako kontrolatzaileetan lau . Kasurik errazenean, ahuleziak zerbitzuaren ukapena urrunetik eragiteko erabil daitezke, baina ezin dira baztertu autentifikaziorik gabeko erasotzaile bati beren kodea Linux kernel pribilegioekin exekutatzeko aukera ematen dioten ustiapenak garatu ahal izateko, bereziki diseinatutako paketeak bidaliz.
Arazoak Broadcom firmwarearen alderantzizko ingeniaritzaren bidez identifikatu ziren. Eragindako txipak oso erabiliak dira ordenagailu eramangarrietan, telefono adimendunetan eta hainbat kontsumo-gailutan, SmartTVetatik hasi eta Gauzen Interneteko gailuetara. Bereziki, Broadcom txipak Apple, Samsumg eta Huawei bezalako fabrikatzaileen telefono adimendunetan erabiltzen dira. Aipagarria da 2018ko irailean Broadcom-i ahultasunen berri eman ziotela, baina 7 hilabete inguru behar izan zituen konponketak askatzeko ekipoen fabrikatzaileekin koordinatuta.
Bi ahultasunek barne firmwareari eragiten diote eta balizko kodea Broadcom txipetan erabiltzen den sistema eragilearen ingurunean exekutatzeko aukera ematen dute, eta horrek Linux erabiltzen ez duten inguruneei erasotzea ahalbidetzen du (adibidez, Apple gailuak erasotzeko aukera baieztatu da. ). Gogora dezagun Broadcom Wi-Fi txip batzuk prozesadore espezializatu bat direla (ARM Cortex R4 edo M3), eta antzeko sistema eragilea exekutatzen du bere 802.11 haririk gabeko pila (FullMAC) inplementazioarekin. Horrelako txipetan, gidariak sistema nagusiaren interakzioa bermatzen du Wi-Fi txiparen firmwarearekin. FullMAC arriskuan jarri ondoren sistema nagusiaren kontrol osoa lortzeko, ahultasun gehigarriak erabiltzea edo, txip batzuetan, sistemaren memoriarako sarbide osoa aprobetxatzea proposatzen da. SoftMAC duten txipetan, 802.11 haririk gabeko pila gidariaren aldean inplementatzen da eta sistemaren CPU erabiliz exekutatzen da.
Gidariaren ahultasunak wl kontrolatzaile jabedunean (SoftMAC eta FullMAC) zein kode irekiko brcmfmac (FullMAC) agertzen dira. Bi buffer gainezka detektatu ziren wl kontrolatzailean, sarbide-puntuak bereziki formateatutako EAPOL mezuak igortzen dituenean konexioa negoziatzeko prozesuan (erasoa maltzurren sarbide-puntu batera konektatzean egin daiteke). SoftMAC duen txip baten kasuan, ahultasunek sistemaren nukleoa arriskuan jartzen dute, eta FullMAC-en kasuan, kodea firmware aldean exekutatu daiteke. brcmfmac-ek buffer gainezka eta kontrol-markoak bidaltzean ustiatutako markoak egiaztatzeko errore bat ditu. Arazoak Linux nukleoan brcmfmac kontrolatzailearekin otsailean.
Identifikatutako ahultasunak:
- CVE-2019-9503 - brcmfmac kontrolatzailearen portaera okerra firmwarearekin elkarreragiteko erabiltzen diren kontrol-markoak prozesatzen dituenean. Firmware-gertaera bat duen fotograma kanpoko iturri batetik badator, gidariak baztertzen du, baina gertaera barne-busaren bidez jasotzen bada, fotograma saltatzen da. Arazoa da USBa erabiltzen duten gailuetako gertaerak barne-busaren bidez transmititzen direla, eta horri esker, erasotzaileek firmware-kontroleko markoak behar bezala transmititu ditzakete USB interfazea duten haririk gabeko egokitzaileak erabiltzean;
- CVE-2019-9500 - "Esnatu Haririk gabeko LAN" funtzioa gaituta dagoenean, posible da brcmfmac kontrolatzailean (brcmf_wowl_nd_results funtzioa) gehiegizko gainezka egitea, bereziki aldatutako kontrol-markoa bidaliz. Ahultasun hau txipa arriskuan egon ondoren sistema nagusian kodearen exekuzioa antolatzeko erabil daiteke edo CVE-2019-9503 ahultasunarekin konbinatuta, egiaztapenak saihesteko kontrol-markoa urrutiko bidalketa gertatuz gero;
- CVE-2019-9501 - wl kontrolatzailean (wlc_wpa_sup_eapol funtzioa) buffer gainezkatzea, fabrikatzailearen informazio eremuaren edukiak 32 byte baino gehiago dituen mezuak prozesatzen direnean;
- CVE-2019-9502 - wl kontrolatzailean (wlc_wpa_plumb_gtk funtzioa) buffer gainezkatzea gertatzen da fabrikatzailearen informazio eremuaren edukiak 164 byte baino gehiago dituen mezuak prozesatzen direnean.
Iturria: opennet.ru