A Broadcom vezeték nélküli chipek illesztőprogramjaiban négy . A legegyszerűbb esetben a sérülékenységek segítségével távolról szolgáltatásmegtagadást lehet előidézni, de nem zárhatók ki olyan forgatókönyvek, amelyekben olyan exploitokat lehet kifejleszteni, amelyek lehetővé teszik, hogy egy hitelesítetlen támadó speciálisan tervezett csomagok küldésével Linux kerneljogosultságokkal hajtsa végre a kódját.
A problémákat a Broadcom firmware visszafejtésével azonosították. Az érintett chipeket széles körben használják laptopokban, okostelefonokban és különféle fogyasztói eszközökben, az okostévéktől a dolgok internetes eszközéig. A Broadcom chipeket különösen olyan gyártók okostelefonjaiban használják, mint az Apple, a Samsumg és a Huawei. Figyelemre méltó, hogy a Broadcomot még 2018 szeptemberében értesítették a sebezhetőségekről, de körülbelül 7 hónapba telt a javítások kiadása a berendezésgyártókkal egyeztetve.
Két sebezhetőség érinti a belső firmware-t, és potenciálisan lehetővé teszi kód futtatását a Broadcom chipekben használt operációs rendszer környezetében, ami lehetővé teszi a Linuxot nem használó környezetek megtámadását (például megerősítést nyert az Apple eszközök megtámadásának lehetősége ). Emlékezzünk vissza, hogy néhány Broadcom Wi-Fi chip speciális processzor (ARM Cortex R4 vagy M3), amely hasonló operációs rendszert futtat a 802.11 vezeték nélküli stack (FullMAC) megvalósításával. Az ilyen chipekben az illesztőprogram biztosítja a fő rendszer interakcióját a Wi-Fi chip firmware-ével. A FullMAC feltörése után a fő rendszer feletti teljes irányítás megszerzéséhez további sebezhetőségek alkalmazása javasolt, vagy egyes chipeknél a rendszermemória teljes hozzáférésének kihasználása. A SoftMAC-el rendelkező chipeknél a 802.11 vezeték nélküli verem az illesztőprogram oldalán van megvalósítva, és a rendszer CPU-jával hajtódik végre.
Az illesztőprogram-sebezhetőségek mind a védett wl-illesztőprogramban (SoftMAC és FullMAC), mind a nyílt forráskódú brcmfmac-ban (FullMAC) megjelennek. Két puffertúlcsordulást észleltek a wl-illesztőprogramban, amelyeket akkor használnak ki, amikor a hozzáférési pont speciálisan formázott EAPOL-üzeneteket továbbít a csatlakozási egyeztetési folyamat során (a támadást rosszindulatú hozzáférési ponthoz való csatlakozáskor lehet végrehajtani). A SoftMAC-el ellátott chip esetében a sérülékenységek a rendszermag kompromittálásához vezetnek, FullMAC esetén pedig a firmware oldalon is végrehajtható a kód. A brcmfmac puffertúlcsordulást és keretellenőrzési hibát tartalmaz, amelyet a vezérlőkeretek küldése használ ki. Problémák a brcmfmac illesztőprogramjával a Linux kernelben februárban.
Azonosított sebezhetőségek:
- CVE-2019-9503 – a brcmfmac illesztőprogram helytelen viselkedése a firmware-rel való interakcióhoz használt vezérlőkeretek feldolgozása során. Ha egy firmware-eseményt tartalmazó keret külső forrásból érkezik, a meghajtó elveti, de ha az esemény a belső buszon keresztül érkezik, akkor a keret kimarad. A probléma az, hogy az USB-t használó eszközökről származó események a belső buszon keresztül kerülnek továbbításra, amely lehetővé teszi a támadók számára, hogy sikeresen továbbítsák a firmware-vezérlőkereteket, amikor USB-interfésszel rendelkező vezeték nélküli adaptereket használnak;
- CVE-2019-9500 – Ha a „Wake-up on Wireless LAN” funkció engedélyezve van, egy speciálisan módosított vezérlőkeret elküldésével halom túlcsordulást okozhat a brcmfmac illesztőprogramban (brcmf_wowl_nd_results függvény). Ez a sérülékenység felhasználható a kódvégrehajtás megszervezésére a fő rendszerben, miután a chipet feltörték, vagy a CVE-2019-9503 biztonsági résszel kombinálva az ellenőrzések megkerülésére egy vezérlőkeret távoli küldése esetén;
- CVE-2019-9501 - puffertúlcsordulás a wl illesztőprogramban (a wlc_wpa_sup_eapol függvény), amely olyan üzenetek feldolgozásakor következik be, amelyek gyártói információs mezőjének tartalma meghaladja a 32 bájtot;
- CVE-2019-9502 - Puffertúlcsordulás a wl-illesztőprogramban (wlc_wpa_plumb_gtk függvény) olyan üzenetek feldolgozásakor történik, amelyek gyártói információs mező tartalma meghaladja a 164 bájtot.
Forrás: opennet.ru