Broadcom անլար չիպերի դրայվերներում չորսը . Ամենապարզ դեպքում, խոցելիությունները կարող են օգտագործվել հեռակա կարգով ծառայության մերժում առաջացնելու համար, սակայն չեն կարող բացառվել սցենարներ, որոնցում կարող են մշակվել շահագործումներ, որոնք թույլ են տալիս չհաստատված հարձակվողին կատարել իրենց կոդը Linux միջուկի արտոնություններով՝ ուղարկելով հատուկ մշակված փաթեթներ:
Խնդիրները բացահայտվել են Broadcom որոնվածի հակադարձ ինժեներիայով: Տուժած չիպերը լայնորեն օգտագործվում են դյուրակիր համակարգիչներում, սմարթֆոններում և սպառողական տարբեր սարքերում՝ SmartTV-ներից մինչև իրերի ինտերնետ սարքեր: Մասնավորապես, Broadcom չիպերն օգտագործվում են այնպիսի արտադրողների սմարթֆոններում, ինչպիսիք են Apple-ը, Samsumg-ը և Huawei-ը: Հատկանշական է, որ Broadcom-ը խոցելիության մասին ծանուցվել էր դեռևս 2018 թվականի սեպտեմբերին, սակայն սարքավորումներ արտադրողների հետ համաձայնեցված շտկումներ հրապարակելու համար պահանջվեց մոտ 7 ամիս։
Երկու խոցելիություն ազդում է ներքին որոնվածի վրա և պոտենցիալ թույլ է տալիս կոդի գործարկումը Broadcom չիպերում օգտագործվող օպերացիոն համակարգի միջավայրում, ինչը հնարավորություն է տալիս հարձակվել Linux չօգտագործող միջավայրերի վրա (օրինակ, Apple սարքերի վրա հարձակվելու հնարավորությունը հաստատվել է ). Հիշեցնենք, որ որոշ Broadcom Wi-Fi չիպերը մասնագիտացված պրոցեսոր են (ARM Cortex R4 կամ M3), որն աշխատում է նմանատիպ օպերացիոն համակարգով իր 802.11 անլար փաթեթի (FullMAC) ներդրումներով: Նման չիպերում վարորդը ապահովում է հիմնական համակարգի փոխազդեցությունը Wi-Fi չիպի որոնվածի հետ: FullMAC-ի խափանումից հետո հիմնական համակարգի նկատմամբ լիարժեք վերահսկողություն ձեռք բերելու համար առաջարկվում է օգտագործել լրացուցիչ խոցելիություններ կամ որոշ չիպերի վրա օգտվել համակարգի հիշողության լիարժեք հասանելիությունից: SoftMAC-ով չիպերում 802.11 անլար կապը ներդրվում է վարորդի կողմից և իրականացվում է համակարգի պրոցեսորի միջոցով:
Վարորդի խոցելիությունը տեղի է ունենում և՛ սեփական wl դրայվերում (SoftMAC և FullMAC), և՛ բաց կոդով brcmfmac (FullMAC): Երկու բուֆերային արտահոսք է հայտնաբերվել wl դրայվերում, որոնք շահագործվել են, երբ մուտքի կետը փոխանցում է հատուկ ձևաչափված EAPOL հաղորդագրություններ կապի բանակցությունների գործընթացում (հարձակումը կարող է իրականացվել չարամիտ մուտքի կետին միանալու ժամանակ): SoftMAC-ով չիպի դեպքում խոցելիությունները հանգեցնում են համակարգի միջուկի փոխզիջման, իսկ FullMAC-ի դեպքում կոդը կարող է գործարկվել որոնվածի կողմից: brcmfmac-ը պարունակում է բուֆերային արտահոսք և շրջանակի ստուգման սխալ, որն օգտագործվում է կառավարման շրջանակներ ուղարկելու միջոցով: Linux միջուկում brcmfmac վարորդի հետ կապված խնդիրներ փետրվարին:
Հայտնաբերված խոցելիություններ.
- CVE-2019-9503 - brcmfmac վարորդի սխալ վարքագիծը որոնվածի հետ փոխազդելու համար օգտագործվող կառավարման շրջանակները մշակելիս: Եթե ծրագրակազմի իրադարձություն ունեցող շրջանակը գալիս է արտաքին աղբյուրից, վարորդը մերժում է այն, բայց եթե իրադարձությունը ստացվում է ներքին ավտոբուսի միջոցով, շրջանակը բաց է թողնվում: Խնդիրն այն է, որ USB օգտագործող սարքերից իրադարձությունները փոխանցվում են ներքին ավտոբուսի միջոցով, ինչը թույլ է տալիս հարձակվողներին հաջողությամբ փոխանցել որոնվածի կառավարման շրջանակները՝ USB ինտերֆեյսով անլար ադապտերներ օգտագործելիս.
- CVE-2019-9500 – Երբ «Wake-up on Wireless LAN» ֆունկցիան միացված է, հնարավոր է brcmfmac-ի դրայվերում կույտի արտահոսք առաջացնել (brcmf_wowl_nd_results ֆունկցիա)՝ ուղարկելով հատուկ փոփոխված կառավարման շրջանակ: Այս խոցելիությունը կարող է օգտագործվել հիմնական համակարգում կոդի կատարումը կազմակերպելու համար, երբ չիպը վնասվել է կամ CVE-2019-9503 խոցելիության հետ համատեղ՝ ստուգումները շրջանցելու համար կառավարման շրջանակի հեռահար ուղարկման դեպքում.
- CVE-2019-9501 - բուֆերային արտահոսք wl դրայվերում (wlc_wpa_sup_eapol ֆունկցիա), որը տեղի է ունենում հաղորդագրությունների մշակման ժամանակ, որոնց արտադրողի տեղեկատվական դաշտի բովանդակությունը գերազանցում է 32 բայթը.
- CVE-2019-9502 - Բուֆերային արտահոսք wl դրայվերում (wlc_wpa_plumb_gtk ֆունկցիա) տեղի է ունենում հաղորդագրությունների մշակման ժամանակ, որոնց արտադրողի տեղեկատվական դաշտի բովանդակությունը գերազանցում է 164 բայթը:
Source: opennet.ru