A Broadcom vezeték nélküli chipek illesztőprogramjaiban
A problémákat a Broadcom firmware visszafejtésével azonosították. Az érintett chipeket széles körben használják laptopokban, okostelefonokban és különféle fogyasztói eszközökben, az okostévéktől a dolgok internetes eszközéig. A Broadcom chipeket különösen olyan gyártók okostelefonjaiban használják, mint az Apple, a Samsumg és a Huawei. Figyelemre méltó, hogy a Broadcomot még 2018 szeptemberében értesítették a sebezhetőségekről, de körülbelül 7 hónapba telt a javítások kiadása a berendezésgyártókkal egyeztetve.
Két sebezhetőség érinti a belső firmware-t, és potenciálisan lehetővé teszi kód futtatását a Broadcom chipekben használt operációs rendszer környezetében, ami lehetővé teszi a Linuxot nem használó környezetek megtámadását (például megerősítést nyert az Apple eszközök megtámadásának lehetősége
Az illesztőprogram-sebezhetőségek mind a védett wl-illesztőprogramban (SoftMAC és FullMAC), mind a nyílt forráskódú brcmfmac-ban (FullMAC) megjelennek. Két puffertúlcsordulást észleltek a wl-illesztőprogramban, amelyeket akkor használnak ki, amikor a hozzáférési pont speciálisan formázott EAPOL-üzeneteket továbbít a csatlakozási egyeztetési folyamat során (a támadást rosszindulatú hozzáférési ponthoz való csatlakozáskor lehet végrehajtani). A SoftMAC-el ellátott chip esetében a sérülékenységek a rendszermag kompromittálásához vezetnek, FullMAC esetén pedig a firmware oldalon is végrehajtható a kód. A brcmfmac puffertúlcsordulást és keretellenőrzési hibát tartalmaz, amelyet a vezérlőkeretek küldése használ ki. Problémák a brcmfmac illesztőprogramjával a Linux kernelben
Azonosított sebezhetőségek:
- CVE-2019-9503 – a brcmfmac illesztőprogram helytelen viselkedése a firmware-rel való interakcióhoz használt vezérlőkeretek feldolgozása során. Ha egy firmware-eseményt tartalmazó keret külső forrásból érkezik, a meghajtó elveti, de ha az esemény a belső buszon keresztül érkezik, akkor a keret kimarad. A probléma az, hogy az USB-t használó eszközökről származó események a belső buszon keresztül kerülnek továbbításra, amely lehetővé teszi a támadók számára, hogy sikeresen továbbítsák a firmware-vezérlőkereteket, amikor USB-interfésszel rendelkező vezeték nélküli adaptereket használnak;
- CVE-2019-9500 – Ha a „Wake-up on Wireless LAN” funkció engedélyezve van, egy speciálisan módosított vezérlőkeret elküldésével halom túlcsordulást okozhat a brcmfmac illesztőprogramban (brcmf_wowl_nd_results függvény). Ez a sérülékenység felhasználható a kódvégrehajtás megszervezésére a fő rendszerben, miután a chipet feltörték, vagy a CVE-2019-9503 biztonsági résszel kombinálva az ellenőrzések megkerülésére egy vezérlőkeret távoli küldése esetén;
- CVE-2019-9501 - puffertúlcsordulás a wl illesztőprogramban (a wlc_wpa_sup_eapol függvény), amely olyan üzenetek feldolgozásakor következik be, amelyek gyártói információs mezőjének tartalma meghaladja a 32 bájtot;
- CVE-2019-9502 - Puffertúlcsordulás a wl-illesztőprogramban (wlc_wpa_plumb_gtk függvény) olyan üzenetek feldolgozásakor történik, amelyek gyártói információs mező tartalma meghaladja a 164 bájtot.
Forrás: opennet.ru