In stuurprogramma's voor draadloze Broadcom-chips четыре . In het eenvoudigste geval kunnen de kwetsbaarheden worden gebruikt om op afstand een Denial of Service te veroorzaken, maar scenario's kunnen niet worden uitgesloten waarin exploits kunnen worden ontwikkeld waarmee een niet-geverifieerde aanvaller zijn code kan uitvoeren met Linux-kernelrechten door speciaal ontworpen pakketten te verzenden.
De problemen werden geïdentificeerd door reverse engineering van de Broadcom-firmware. De getroffen chips worden veel gebruikt in laptops, smartphones en een verscheidenheid aan consumentenapparaten, van SmartTV's tot Internet of Things-apparaten. Met name Broadcom-chips worden gebruikt in smartphones van fabrikanten als Apple, Samsumg en Huawei. Het is opmerkelijk dat Broadcom al in september 2018 op de hoogte werd gesteld van de kwetsbaarheden, maar het duurde ongeveer zeven maanden voordat de oplossingen werden vrijgegeven in overleg met de fabrikanten van apparatuur.
Twee kwetsbaarheden beïnvloeden de interne firmware en maken het mogelijk dat code wordt uitgevoerd in de omgeving van het besturingssysteem dat wordt gebruikt in Broadcom-chips, wat het mogelijk maakt om omgevingen aan te vallen die geen Linux gebruiken (de mogelijkheid om Apple-apparaten aan te vallen is bijvoorbeeld bevestigd ). Laten we niet vergeten dat sommige Broadcom Wi-Fi-chips een gespecialiseerde processor zijn (ARM Cortex R4 of M3), die een soortgelijk besturingssysteem draait met implementaties van de 802.11 draadloze stack (FullMAC). In dergelijke chips zorgt de driver voor interactie van het hoofdsysteem met de Wi-Fi-chipfirmware. Om volledige controle over het hoofdsysteem te krijgen nadat FullMAC is gecompromitteerd, wordt voorgesteld om extra kwetsbaarheden te gebruiken of, op sommige chips, te profiteren van volledige toegang tot het systeemgeheugen. In chips met SoftMAC is de 802.11 draadloze stack geïmplementeerd aan de driverzijde en uitgevoerd met behulp van de systeem-CPU.
Kwetsbaarheden in stuurprogramma's komen voor in zowel de eigen wl-driver (SoftMAC en FullMAC) als de open source brcmfmac (FullMAC). Er zijn twee bufferoverflows gedetecteerd in het wl-stuurprogramma, die worden uitgebuit wanneer het toegangspunt speciaal geformatteerde EAPOL-berichten verzendt tijdens het verbindingsonderhandelingsproces (de aanval kan worden uitgevoerd wanneer verbinding wordt gemaakt met een kwaadaardig toegangspunt). In het geval van een chip met SoftMAC leiden kwetsbaarheden tot het compromitteren van de systeemkernel, en in het geval van FullMAC kan de code aan de firmwarezijde worden uitgevoerd. brcmfmac bevat een bufferoverflow en een framecontrolefout die wordt uitgebuit door het verzenden van controleframes. Problemen met het brcmfmac-stuurprogramma in de Linux-kernel in februari.
Geïdentificeerde kwetsbaarheden:
- CVE-2019-9503 - onjuist gedrag van het brcmfmac-stuurprogramma bij het verwerken van controleframes die worden gebruikt voor interactie met de firmware. Als een frame met een firmwaregebeurtenis afkomstig is van een externe bron, negeert de driver dit, maar als de gebeurtenis via de interne bus wordt ontvangen, wordt het frame overgeslagen. Het probleem is dat gebeurtenissen van apparaten die USB gebruiken, via de interne bus worden verzonden, waardoor aanvallers met succes firmwarecontroleframes kunnen verzenden bij gebruik van draadloze adapters met een USB-interface;
- CVE-2019-9500 – Wanneer de functie “Wake-up on Wireless LAN” is ingeschakeld, is het mogelijk om een heap overflow in het brcmfmac-stuurprogramma (functie brcmf_wowl_nd_results) te veroorzaken door een speciaal aangepast controleframe te verzenden. Deze kwetsbaarheid kan worden gebruikt om code-uitvoering in het hoofdsysteem te organiseren nadat de chip is aangetast of in combinatie met de CVE-2019-9503-kwetsbaarheid om controles te omzeilen bij het op afstand verzenden van een controleframe;
- CVE-2019-9501 - een bufferoverloop in het wl-stuurprogramma (de wlc_wpa_sup_eapol-functie) die optreedt bij het verwerken van berichten waarvan de inhoud van het fabrikantinformatieveld groter is dan 32 bytes;
- CVE-2019-9502 - Een bufferoverloop in het wl-stuurprogramma (wlc_wpa_plumb_gtk-functie) treedt op bij het verwerken van berichten waarvan de inhoud van het fabrikantinformatieveld groter is dan 164 bytes.
Bron: opennet.ru