Broadcom haririk gabeko txipetarako kontrolatzaileetan lau Kasu sinpleenean, ahultasunak erabil daitezke urruneko zerbitzu ukapena eragiteko, baina ezin dira baztertu autentifikatu gabeko erasotzaile batek bere kodea kernel pribilegioekin exekutatzea ahalbidetzen duten ustiapenak garatu daitezkeen eszenatokiak. Linux bereziki diseinatutako paketeak bidaliz.
Arazoak Broadcom firmwarearen alderantzizko ingeniaritzaren bidez identifikatu ziren. Eragindako txipak oso erabiliak dira ordenagailu eramangarrietan, telefono adimendunetan eta hainbat kontsumo-gailutan, SmartTVetatik hasi eta Gauzen Interneteko gailuetara. Bereziki, Broadcom txipak Apple, Samsumg eta Huawei bezalako fabrikatzaileen telefono adimendunetan erabiltzen dira. Aipagarria da 2018ko irailean Broadcom-i ahultasunen berri eman ziotela, baina 7 hilabete inguru behar izan zituen konponketak askatzeko ekipoen fabrikatzaileekin koordinatuta.
Bi ahultasunek barneko firmwareari eragiten diote eta Broadcom txipetan erabiltzen den sistema eragilearen ingurunean kodea exekutatzea ahalbidetzen dute, eta horrek erasoak ahalbidetzen ditu erabiltzen ez diren inguruneetan. Linux (adibidez, Apple gailuei erasotzeko aukera baieztatu da, ). Gogora dezagun Broadcom Wi-Fi txip batzuk prozesadore espezializatu bat direla (ARM Cortex R4 edo M3), eta antzeko sistema eragilea exekutatzen du bere 802.11 haririk gabeko pila (FullMAC) inplementazioarekin. Horrelako txipetan, gidariak sistema nagusiaren interakzioa bermatzen du Wi-Fi txiparen firmwarearekin. FullMAC arriskuan jarri ondoren sistema nagusiaren kontrol osoa lortzeko, ahultasun gehigarriak erabiltzea edo, txip batzuetan, sistemaren memoriarako sarbide osoa aprobetxatzea proposatzen da. SoftMAC duten txipetan, 802.11 haririk gabeko pila gidariaren aldean inplementatzen da eta sistemaren CPU erabiliz exekutatzen da.
Kontrolatzaileen ahultasunek wl kontrolatzaile jabedunari (SoftMAC eta FullMAC) eta brcmfmac kode irekikoari (FullMAC) eragiten diete. Bi buffer gainezkatze detektatu ziren wl kontrolatzailean, sarbide-puntuak konexio-negoziazioan zehar bereziki landutako EAPOL mezuak igortzen dituenean ustiatuak (eraso bat egin daiteke sarbide-puntu gaizto batera konektatzean). SoftMAC txiparen kasuan, ahultasunek nukleoa arriskuan jartzea eragiten dute, eta FullMACen kasuan, kodea exekutatu daiteke firmwarean. Brcmfmac-en, buffer gainezkatze bat eta markoen balidazio-errore bat daude, kontrol-markoak bidaliz ustiatuak. Kernelean Linux arazoak brcmfmac kontrolatzailearekin otsailean.
Identifikatutako ahultasunak:
- CVE-2019-9503 - brcmfmac kontrolatzailearen portaera okerra firmwarearekin elkarreragiteko erabiltzen diren kontrol-markoak prozesatzen dituenean. Firmware-gertaera bat duen fotograma kanpoko iturri batetik badator, gidariak baztertzen du, baina gertaera barne-busaren bidez jasotzen bada, fotograma saltatzen da. Arazoa da USBa erabiltzen duten gailuetako gertaerak barne-busaren bidez transmititzen direla, eta horri esker, erasotzaileek firmware-kontroleko markoak behar bezala transmititu ditzakete USB interfazea duten haririk gabeko egokitzaileak erabiltzean;
- CVE-2019-9500 - "Esnatu Haririk gabeko LAN" funtzioa gaituta dagoenean, posible da brcmfmac kontrolatzailean (brcmf_wowl_nd_results funtzioa) gehiegizko gainezka egitea, bereziki aldatutako kontrol-markoa bidaliz. Ahultasun hau txipa arriskuan egon ondoren sistema nagusian kodearen exekuzioa antolatzeko erabil daiteke edo CVE-2019-9503 ahultasunarekin konbinatuta, egiaztapenak saihesteko kontrol-markoa urrutiko bidalketa gertatuz gero;
- CVE-2019-9501 - wl kontrolatzailean (wlc_wpa_sup_eapol funtzioa) buffer gainezkatzea, fabrikatzailearen informazio eremuaren edukiak 32 byte baino gehiago dituen mezuak prozesatzen direnean;
- CVE-2019-9502 - wl kontrolatzailean (wlc_wpa_plumb_gtk funtzioa) buffer gainezkatzea gertatzen da fabrikatzailearen informazio eremuaren edukiak 164 byte baino gehiago dituen mezuak prozesatzen direnean.
Iturria: opennet.ru
