פגיעויות במנהלי התקנים עבור שבבי Broadcom WiFi, המאפשרות לך לתקוף מרחוק את המערכת

בדרייברים עבור שבבי Broadcom אלחוטיים גילה ארבעה פגיעות. במקרה הפשוט ביותר, ניתן להשתמש בפגיעויות כדי לגרום מרחוק למניעת שירות, אך לא ניתן לשלול תרחישים בהם ניתן לפתח ניצולים המאפשרים לתוקף לא מאומת לבצע את הקוד שלו עם הרשאות ליבת לינוקס על ידי שליחת מנות שתוכננו במיוחד.

הבעיות זוהו על ידי הנדסה לאחור של קושחת ברודקום. השבבים המושפעים נמצאים בשימוש נרחב במחשבים ניידים, סמארטפונים ומגוון מכשירים צרכניים, החל מטלוויזיות חכמות ועד למכשירי האינטרנט של הדברים. בפרט, שבבי Broadcom משמשים בסמארטפונים של יצרנים כמו אפל, סמסום ו-Huawei. ראוי לציין שברודקום קיבלה הודעה על נקודות התורפה עוד בספטמבר 2018, אך לקח כ-7 חודשים לשחרר תיקונים בתיאום עם יצרני ציוד.

שתי נקודות תורפה משפיעות על הקושחה הפנימית ועלולות לאפשר ביצוע קוד בסביבת מערכת ההפעלה המשמשת בשבבי ברודקום, מה שמאפשר לתקוף סביבות שאינן משתמשות בלינוקס (לדוגמה, אושרה האפשרות לתקוף מכשירי אפל CVE-2019-8564). הבה נזכיר שכמה שבבי Wi-Fi של Broadcom הם מעבד מיוחד (ARM Cortex R4 או M3), המריץ מערכת הפעלה דומה עם יישומים של המחסנית האלחוטית 802.11 (FullMAC). בשבבים כאלה, הנהג מבטיח אינטראקציה של המערכת הראשית עם קושחת שבב ה-Wi-Fi. כדי להשיג שליטה מלאה על המערכת הראשית לאחר פגיעה ב-FullMAC, מוצע להשתמש בנקודות תורפה נוספות או, בשבבים מסוימים, לנצל את הגישה המלאה לזיכרון המערכת. בשבבים עם SoftMAC, המחסנית האלחוטית 802.11 מיושמת בצד הנהג ומבוצעת באמצעות מעבד המערכת.

פגיעויות של מנהלי התקנים מתרחשות הן במנהל התקן wl הקנייני (SoftMAC ו-FullMAC) והן בקוד הפתוח brcmfmac (FullMAC). במנהל ההתקן wl זוהו שתי גלישות מאגר, מנוצלות כאשר נקודת הגישה משדרת הודעות EAPOL בפורמט מיוחד במהלך תהליך המשא ומתן על החיבור (ניתן לבצע את ההתקפה בעת התחברות לנקודת גישה זדונית). במקרה של שבב עם SoftMAC, נקודות תורפה מובילות לפגיעה בגרעין המערכת, ובמקרה של FullMAC, ניתן להפעיל את הקוד בצד הקושחה. brcmfmac מכיל גלישת מאגר ושגיאת בדיקת מסגרת המנוצלת על ידי שליחת מסגרות בקרה. בעיות עם מנהל ההתקן של brcmfmac בליבת לינוקס זה היה חוסלו בפברואר.

נקודות תורפה שזוהו:

• CVE-2019-9503 - התנהגות שגויה של מנהל ההתקן של brcmfmac בעת עיבוד מסגרות בקרה המשמשות לאינטראקציה עם הקושחה. אם מסגרת עם אירוע קושחה מגיעה ממקור חיצוני, הנהג משליך אותה, אך אם האירוע מתקבל דרך האוטובוס הפנימי, המסגרת מדלגת. הבעיה היא שאירועים ממכשירים המשתמשים ב-USB מועברים דרך האפיק הפנימי, מה שמאפשר לתוקפים להעביר בהצלחה מסגרות בקרת קושחה בעת שימוש במתאמים אלחוטיים עם ממשק USB;
• CVE-2019-9500 - כאשר תכונת "התעוררות ברשת אלחוטית" מופעלת, אפשר לגרום לגלישה בערימה במנהל ההתקן של brcmfmac (פונקציה brcmf_wowl_nd_results) על ידי שליחת מסגרת בקרה ששונתה במיוחד. ניתן להשתמש בפגיעות זו לארגון ביצוע קוד במערכת הראשית לאחר שהשבב נפרץ או בשילוב עם הפגיעות של CVE-2019-9503 כדי לעקוף בדיקות במקרה של שליחה מרחוק של מסגרת בקרה;
• CVE-2019-9501 - גלישת חיץ במנהל ההתקן wl (פונקציית wlc_wpa_sup_eapol) המתרחשת בעת עיבוד הודעות שתוכן שדה המידע של היצרן שלהן עולה על 32 בתים;
• CVE-2019-9502 - גלישת חיץ במנהל ההתקן wl (פונקציית wlc_wpa_plumb_gtk) מתרחשת בעת עיבוד הודעות שתוכן שדה המידע של היצרן שלהן עולה על 164 בתים.

מקור: OpenNet.ru