En controladores para chips sen fíos Broadcom catro . No caso máis sinxelo, as vulnerabilidades pódense utilizar para provocar de forma remota unha denegación de servizo, pero non se poden excluír escenarios nos que se poidan desenvolver exploits que permitan a un atacante non autenticado executar o seu código con privilexios do núcleo de Linux mediante o envío de paquetes especialmente deseñados.
Os problemas identificáronse mediante a enxeñaría inversa do firmware de Broadcom. Os chips afectados úsanse amplamente en portátiles, teléfonos intelixentes e unha variedade de dispositivos de consumo, desde SmartTV ata dispositivos de Internet das cousas. En particular, os chips Broadcom úsanse en teléfonos intelixentes de fabricantes como Apple, Samsumg e Huawei. Cabe destacar que a Broadcom foi notificada das vulnerabilidades en setembro de 2018, pero tardou uns 7 meses en publicar correccións en coordinación cos fabricantes de equipos.
Dúas vulnerabilidades afectan ao firmware interno e permiten potencialmente executar código no entorno do sistema operativo utilizado nos chips Broadcom, o que permite atacar contornas que non utilizan Linux (por exemplo, confirmouse a posibilidade de atacar dispositivos Apple). ). Lembremos que algúns chips Wi-Fi de Broadcom son un procesador especializado (ARM Cortex R4 ou M3), que executa un sistema operativo similar con implementacións da súa pila sen fíos 802.11 (FullMAC). Nestes chips, o controlador garante a interacción do sistema principal co firmware do chip Wi-Fi. Para obter o control total sobre o sistema principal despois de que FullMAC se vexa comprometido, proponse utilizar vulnerabilidades adicionais ou, nalgúns chips, aproveitar o acceso total á memoria do sistema. Nos chips con SoftMAC, a pila sen fíos 802.11 está implementada no lado do controlador e execútase mediante a CPU do sistema.
As vulnerabilidades do controlador aparecen tanto no controlador wl propietario (SoftMAC e FullMAC) como no brcmfmac de código aberto (FullMAC). Detectáronse dous desbordamentos de búfer no controlador wl, explotados cando o punto de acceso transmite mensaxes EAPOL especialmente formateadas durante o proceso de negociación da conexión (o ataque pódese levar a cabo ao conectarse a un punto de acceso malicioso). No caso dun chip con SoftMAC, as vulnerabilidades levan a comprometer o núcleo do sistema e, no caso de FullMAC, o código pódese executar no lado do firmware. brcmfmac contén un desbordamento do búfer e un erro de verificación de fotogramas explotado ao enviar marcos de control. Problemas co controlador brcmfmac no núcleo de Linux en febreiro.
Vulnerabilidades identificadas:
- CVE-2019-9503: comportamento incorrecto do controlador brcmfmac ao procesar marcos de control utilizados para interactuar co firmware. Se unha trama cun evento de firmware procede dunha fonte externa, o controlador descartao, pero se o evento se recibe a través do bus interno, o frame saltarase. O problema é que os eventos dos dispositivos que usan USB transmítense a través do bus interno, o que permite aos atacantes transmitir con éxito marcos de control de firmware cando usan adaptadores sen fíos cunha interface USB;
- CVE-2019-9500: cando a función "Despertar na LAN sen fíos" está activada, é posible que se produza un desbordamento do montón no controlador brcmfmac (función brcmf_wowl_nd_results) enviando un marco de control especialmente modificado. Esta vulnerabilidade pódese utilizar para organizar a execución de código no sistema principal despois de que o chip se vexa comprometido ou en combinación coa vulnerabilidade CVE-2019-9503 para evitar as comprobacións en caso de envío remoto dun marco de control;
- CVE-2019-9501: un desbordamento do búfer no controlador wl (a función wlc_wpa_sup_eapol) que se produce ao procesar mensaxes cuxo contido do campo de información do fabricante supera os 32 bytes;
- CVE-2019-9502: prodúcese un desbordamento do búfer no controlador wl (función wlc_wpa_plumb_gtk) ao procesar mensaxes cuxo contido do campo de información do fabricante supera os 164 bytes.
Fonte: opennet.ru