Dalam pemacu untuk cip wayarles Broadcom empat . Dalam kes yang paling mudah, kelemahan boleh digunakan untuk menyebabkan penafian perkhidmatan dari jauh, tetapi senario tidak boleh dikecualikan di mana eksploitasi boleh dibangunkan yang membenarkan penyerang yang tidak disahkan untuk melaksanakan kod mereka dengan keistimewaan kernel Linux dengan menghantar paket yang direka khas.
Masalahnya telah dikenal pasti melalui kejuruteraan terbalik perisian tegar Broadcom. Cip yang terjejas digunakan secara meluas dalam komputer riba, telefon pintar dan pelbagai peranti pengguna, daripada SmartTV hingga peranti Internet of Things. Khususnya, cip Broadcom digunakan dalam telefon pintar daripada pengeluar seperti Apple, Samsumg dan Huawei. Perlu diperhatikan bahawa Broadcom telah dimaklumkan tentang kelemahan itu pada September 2018, tetapi mengambil masa kira-kira 7 bulan untuk mengeluarkan pembaikan dengan penyelarasan dengan pengeluar peralatan.
Dua kelemahan menjejaskan perisian tegar dalaman dan berkemungkinan membenarkan kod dilaksanakan dalam persekitaran sistem pengendalian yang digunakan dalam cip Broadcom, yang memungkinkan untuk menyerang persekitaran yang tidak menggunakan Linux (contohnya, kemungkinan menyerang peranti Apple telah disahkan ). Mari kita ingat bahawa beberapa cip Wi-Fi Broadcom ialah pemproses khusus (ARM Cortex R4 atau M3), yang menjalankan sistem pengendalian yang serupa dengan pelaksanaan tindanan wayarles 802.11 (FullMAC). Dalam cip sedemikian, pemandu memastikan interaksi sistem utama dengan perisian tegar cip Wi-Fi. Untuk mendapatkan kawalan penuh ke atas sistem utama selepas FullMAC telah dikompromi, adalah dicadangkan untuk menggunakan kelemahan tambahan atau, pada sesetengah cip, memanfaatkan akses penuh kepada memori sistem. Dalam cip dengan SoftMAC, tindanan wayarles 802.11 dilaksanakan pada bahagian pemacu dan dilaksanakan menggunakan CPU sistem.
Kerentanan pemandu muncul dalam kedua-dua pemacu wl proprietari (SoftMAC dan FullMAC) dan sumber terbuka brcmfmac (FullMAC). Dua limpahan penimbal dikesan dalam pemacu wl, dieksploitasi apabila titik capaian menghantar mesej EAPOL yang diformat khas semasa proses rundingan sambungan (serangan boleh dilakukan apabila menyambung ke pusat akses yang berniat jahat). Dalam kes cip dengan SoftMAC, kelemahan membawa kepada kompromi kernel sistem, dan dalam kes FullMAC, kod boleh dilaksanakan pada bahagian perisian tegar. brcmfmac mengandungi limpahan penimbal dan ralat pemeriksaan bingkai yang dieksploitasi dengan menghantar bingkai kawalan. Masalah dengan pemacu brcmfmac dalam kernel Linux pada Februari.
Kelemahan yang dikenal pasti:
- CVE-2019-9503 - tingkah laku tidak betul pemacu brcmfmac semasa memproses bingkai kawalan yang digunakan untuk berinteraksi dengan perisian tegar. Jika bingkai dengan peristiwa perisian tegar datang daripada sumber luaran, pemandu membuangnya, tetapi jika acara itu diterima melalui bas dalaman, bingkai itu dilangkau. Masalahnya ialah peristiwa daripada peranti menggunakan USB dihantar melalui bas dalaman, yang membolehkan penyerang berjaya menghantar bingkai kawalan perisian tegar apabila menggunakan penyesuai wayarles dengan antara muka USB;
- CVE-2019-9500 β Apabila ciri βWake-up on Wireless LANβ didayakan, adalah mungkin untuk menyebabkan limpahan timbunan dalam pemacu brcmfmac (fungsi brcmf_wowl_nd_results) dengan menghantar bingkai kawalan yang diubah suai khas. Kerentanan ini boleh digunakan untuk mengatur pelaksanaan kod dalam sistem utama selepas cip telah terjejas atau digabungkan dengan kerentanan CVE-2019-9503 untuk memintas semakan sekiranya berlaku penghantaran jauh bingkai kawalan;
- CVE-2019-9501 - limpahan penimbal dalam pemacu wl (fungsi wlc_wpa_sup_eapol) yang berlaku apabila memproses mesej yang kandungan medan maklumat pengeluar melebihi 32 bait;
- CVE-2019-9502 - Limpahan penimbal dalam pemacu wl (fungsi wlc_wpa_plumb_gtk) berlaku apabila memproses mesej yang kandungan medan maklumat pengeluar melebihi 164 bait.
Sumber: opennet.ru