Dans les pilotes pour les puces sans fil Broadcom quatre . Dans le cas le plus simple, les vulnérabilités peuvent être utilisées pour provoquer à distance un déni de service, mais des scénarios ne peuvent être exclus dans lesquels des exploits peuvent être développés permettant à un attaquant non authentifié d'exécuter son code avec les privilèges du noyau Linux en envoyant des paquets spécialement conçus.
Les problèmes ont été identifiés par rétro-ingénierie du micrologiciel Broadcom. Les puces concernées sont largement utilisées dans les ordinateurs portables, les smartphones et divers appareils grand public, des SmartTV aux appareils Internet des objets. Les puces Broadcom sont notamment utilisées dans les smartphones de fabricants tels qu'Apple, Samsumg et Huawei. Il est à noter que Broadcom a été informé des vulnérabilités en septembre 2018, mais il a fallu environ 7 mois pour publier des correctifs en coordination avec les fabricants d'équipements.
Deux vulnérabilités affectent le firmware interne et permettent potentiellement d'exécuter du code dans l'environnement du système d'exploitation utilisé dans les puces Broadcom, ce qui permet d'attaquer des environnements n'utilisant pas Linux (par exemple, la possibilité d'attaquer les appareils Apple a été confirmée ). Rappelons que certaines puces Wi-Fi Broadcom sont un processeur spécialisé (ARM Cortex R4 ou M3), qui exécute un système d'exploitation similaire avec des implémentations de sa pile sans fil 802.11 (FullMAC). Dans ces puces, le pilote assure l'interaction du système principal avec le micrologiciel de la puce Wi-Fi. Pour obtenir un contrôle total sur le système principal après la compromission de FullMAC, il est proposé d'utiliser des vulnérabilités supplémentaires ou, sur certaines puces, de profiter d'un accès complet à la mémoire système. Dans les puces avec SoftMAC, la pile sans fil 802.11 est implémentée côté pilote et exécutée à l'aide du processeur système.
Des vulnérabilités de pilote se produisent à la fois dans le pilote propriétaire wl (SoftMAC et FullMAC) et dans le brcmfmac open source (FullMAC). Deux buffer overflows ont été détectés dans le driver wl, exploités lorsque le point d'accès transmet des messages EAPOL spécialement formatés lors du processus de négociation de connexion (l'attaque peut être menée lors de la connexion à un point d'accès malveillant). Dans le cas d'une puce avec SoftMAC, les vulnérabilités conduisent à une compromission du noyau du système, et dans le cas de FullMAC, le code peut être exécuté côté firmware. brcmfmac contient un débordement de tampon et une erreur de vérification de trame exploitée par l'envoi de trames de contrôle. Problèmes avec le pilote brcmfmac dans le noyau Linux en février.
Vulnérabilités identifiées :
- CVE-2019-9503 - comportement incorrect du pilote brcmfmac lors du traitement des trames de contrôle utilisées pour interagir avec le firmware. Si une trame avec un événement de micrologiciel provient d'une source externe, le pilote l'ignore, mais si l'événement est reçu via le bus interne, la trame est ignorée. Le problème est que les événements provenant des appareils utilisant USB sont transmis via le bus interne, ce qui permet aux attaquants de transmettre avec succès des trames de contrôle du micrologiciel lors de l'utilisation d'adaptateurs sans fil avec une interface USB ;
- CVE-2019-9500 – Lorsque la fonctionnalité « Wake-up on Wireless LAN » est activée, il est possible de provoquer un débordement de tas dans le pilote brcmfmac (fonction brcmf_wowl_nd_results) en envoyant une trame de contrôle spécialement modifiée. Cette vulnérabilité peut être utilisée pour organiser l'exécution de code dans le système principal après que la puce a été compromise ou en combinaison avec la vulnérabilité CVE-2019-9503 pour contourner les contrôles en cas d'envoi à distance d'une trame de contrôle ;
- CVE-2019-9501 - un débordement de tampon dans le pilote wl (la fonction wlc_wpa_sup_eapol) qui se produit lors du traitement de messages dont le contenu du champ d'informations du fabricant dépasse 32 octets ;
- CVE-2019-9502 - Un débordement de tampon dans le pilote wl (fonction wlc_wpa_plumb_gtk) se produit lors du traitement de messages dont le contenu du champ d'informations du fabricant dépasse 164 octets.
Source: opennet.ru