Broadcomin langattomien sirujen ohjaimissa neljä . Yksinkertaisimmassa tapauksessa haavoittuvuuksia voidaan käyttää etäyhteyden aiheuttamiseen palvelunestolle, mutta ei voida sulkea pois skenaarioita, joissa voidaan kehittää hyväksikäyttöjä, joiden avulla todentamaton hyökkääjä voi suorittaa koodinsa Linux-ytimen oikeuksilla lähettämällä erityisesti suunniteltuja paketteja.
Ongelmat tunnistettiin Broadcomin laiteohjelmiston käänteissuunnittelulla. Haitallisia siruja käytetään laajalti kannettavissa tietokoneissa, älypuhelimissa ja erilaisissa kuluttajalaitteissa älytelevisioista esineiden internet-laitteisiin. Erityisesti Broadcom-siruja käytetään Applen, Samsumgin ja Huawein kaltaisten valmistajien älypuhelimissa. On huomionarvoista, että Broadcomille ilmoitettiin haavoittuvuuksista jo syyskuussa 2018, mutta korjausten julkaiseminen yhteistyössä laitevalmistajien kanssa kesti noin 7 kuukautta.
Kaksi haavoittuvuutta vaikuttavat sisäiseen laiteohjelmistoon ja mahdollistavat koodin suorittamisen Broadcom-siruissa käytetyn käyttöjärjestelmän ympäristössä, mikä mahdollistaa hyökkäykset ympäristöihin, jotka eivät käytä Linuxia (esim. Apple-laitteiden hyökkäysmahdollisuus on vahvistettu ). Muistakaamme, että jotkin Broadcom Wi-Fi-sirut ovat erikoisprosessoreita (ARM Cortex R4 tai M3), joka käyttää samanlaista käyttöjärjestelmää langattoman 802.11-pinon (FullMAC) toteutuksella. Tällaisissa siruissa ohjain varmistaa pääjärjestelmän vuorovaikutuksen Wi-Fi-sirun laiteohjelmiston kanssa. Pääjärjestelmän täyden hallinnan saavuttamiseksi sen jälkeen, kun FullMAC on vaarantunut, ehdotetaan lisähaavoittuvuuksien käyttöä tai joissakin siruissa järjestelmän muistin täydellistä käyttöoikeutta. SoftMAC-siruissa langaton 802.11-pino on toteutettu ajurin puolella ja suoritetaan järjestelmän prosessorin avulla.
Ohjainten haavoittuvuuksia esiintyy sekä omassa wl-ohjaimessa (SoftMAC ja FullMAC) että avoimen lähdekoodin brcmfmacissa (FullMAC). Wl-ajurissa havaittiin kaksi puskurin ylivuotoa, joita hyödynnettiin tukiaseman lähettäessä erityismuotoiltuja EAPOL-viestejä yhteysneuvotteluprosessin aikana (hyökkäys voidaan suorittaa yhdistettäessä haitalliseen tukiasemaan). SoftMAC-sirun tapauksessa haavoittuvuudet johtavat järjestelmäytimen vaarantumiseen, ja FullMAC:n tapauksessa koodi voidaan suorittaa laiteohjelmiston puolella. brcmfmac sisältää puskurin ylivuodon ja kehystarkistusvirheen, jota käytetään hyväksi lähettämällä ohjauskehyksiä. Ongelmia brcmfmac-ohjaimen kanssa Linux-ytimessä helmikuussa.
Tunnistetut haavoittuvuudet:
- CVE-2019-9503 - brcmfmac-ohjaimen virheellinen toiminta, kun käsitellään ohjauskehyksiä, joita käytetään vuorovaikutuksessa laiteohjelmiston kanssa. Jos laiteohjelmistotapahtuman sisältävä kehys tulee ulkoisesta lähteestä, ajuri hylkää sen, mutta jos tapahtuma vastaanotetaan sisäisen väylän kautta, kehys ohitetaan. Ongelmana on, että tapahtumat USB:tä käyttävistä laitteista välittyvät sisäisen väylän kautta, minkä ansiosta hyökkääjät voivat lähettää onnistuneesti laiteohjelmiston ohjauskehyksiä käytettäessä langattomia sovittimia USB-liitännällä;
- CVE-2019-9500 – Kun "Wake-up on Wireless LAN" -ominaisuus on käytössä, on mahdollista aiheuttaa keon ylivuoto brcmfmac-ohjaimessa (toiminto brcmf_wowl_nd_results) lähettämällä erityisesti muokattu ohjauskehys. Tätä haavoittuvuutta voidaan käyttää koodin suorittamisen järjestämiseen pääjärjestelmässä sen jälkeen, kun siru on vaarantunut, tai yhdessä CVE-2019-9503-haavoittuvuuden kanssa, joka ohittaa tarkistukset ohjauskehyksen etälähetyksessä.
- CVE-2019-9501 - puskurin ylivuoto wl-ohjaimessa (wlc_wpa_sup_eapol-funktio), joka tapahtuu käsiteltäessä viestejä, joiden valmistajan tietokentän sisältö ylittää 32 tavua;
- CVE-2019-9502 on wl-ohjaimen puskurin ylivuoto (wlc_wpa_plumb_gtk-funktio), joka tapahtuu käsiteltäessä viestejä, joiden valmistajan tietokentän sisältö ylittää 164 tavua.
Lähde: opennet.ru