I drivere for Broadcom trådløse brikker fire . I det enkleste tilfellet kan sårbarhetene brukes til eksternt å forårsake tjenestenekt, men det kan ikke utelukkes scenarier der det kan utvikles utnyttelser som lar en uautentisert angriper kjøre koden sin med Linux-kjerneprivilegier ved å sende spesialdesignede pakker.
Problemene ble identifisert ved omvendt utvikling av Broadcom-fastvaren. De berørte brikkene er mye brukt i bærbare datamaskiner, smarttelefoner og en rekke forbrukerenheter, fra SmartTV-er til Internet of Things-enheter. Spesielt brukes Broadcom-brikker i smarttelefoner fra produsenter som Apple, Samsumg og Huawei. Det er bemerkelsesverdig at Broadcom ble varslet om sårbarhetene tilbake i september 2018, men det tok omtrent 7 måneder å utgi rettelser i samarbeid med utstyrsprodusenter.
To sårbarheter påvirker intern fastvare og muligens tillater kjøring av kode i miljøet til operativsystemet som brukes i Broadcom-brikker, noe som gjør det mulig å angripe miljøer som ikke bruker Linux (for eksempel er muligheten for å angripe Apple-enheter bekreftet ). La oss huske at noen Broadcom Wi-Fi-brikker er en spesialisert prosessor (ARM Cortex R4 eller M3), som kjører et lignende operativsystem med implementeringer av sin 802.11 trådløse stack (FullMAC). I slike brikker sørger driveren for samhandling av hovedsystemet med Wi-Fi-brikkens fastvare. For å få full kontroll over hovedsystemet etter at FullMAC har blitt kompromittert, foreslås det å bruke ytterligere sårbarheter eller, på noen brikker, dra nytte av full tilgang til systemminnet. I brikker med SoftMAC er den trådløse 802.11-stakken implementert på driversiden og utført ved hjelp av system-CPU.
Driversårbarheter vises i både den proprietære wl-driveren (SoftMAC og FullMAC) og åpen kildekode brcmfmac (FullMAC). To bufferoverløp ble oppdaget i wl-driveren, utnyttet når tilgangspunktet sender spesialformaterte EAPOL-meldinger under tilkoblingsforhandlingsprosessen (angrepet kan utføres når du kobler til et ondsinnet tilgangspunkt). Når det gjelder en brikke med SoftMAC, fører sårbarheter til kompromittering av systemkjernen, og når det gjelder FullMAC, kan koden kjøres på fastvaresiden. brcmfmac inneholder et bufferoverløp og en rammekontrollfeil utnyttet ved å sende kontrollrammer. Problemer med brcmfmac-driveren i Linux-kjernen i februar.
Identifiserte sårbarheter:
- CVE-2019-9503 - feil oppførsel av brcmfmac-driveren ved behandling av kontrollrammer som brukes til å samhandle med fastvaren. Hvis en ramme med en fastvarehendelse kommer fra en ekstern kilde, forkaster sjåføren den, men hvis hendelsen mottas via den interne bussen, hoppes rammen over. Problemet er at hendelser fra enheter som bruker USB, overføres gjennom den interne bussen, noe som gjør at angripere kan overføre fastvarekontrollrammer når de bruker trådløse adaptere med USB-grensesnitt;
- CVE-2019-9500 – Når "Vekke opp på trådløst LAN"-funksjonen er aktivert, er det mulig å forårsake en heap-overflyt i brcmfmac-driveren (funksjon brcmf_wowl_nd_results) ved å sende en spesialmodifisert kontrollramme. Denne sårbarheten kan brukes til å organisere kodekjøring i hovedsystemet etter at brikken har blitt kompromittert eller i kombinasjon med CVE-2019-9503-sårbarheten for å omgå kontroller i tilfelle ekstern sending av en kontrollramme;
- CVE-2019-9501 - et bufferoverløp i wl-driveren (wlc_wpa_sup_eapol-funksjonen) som oppstår ved behandling av meldinger hvis produsentinformasjonsfeltinnhold overstiger 32 byte;
- CVE-2019-9502 - Et bufferoverløp i wl-driveren (wlc_wpa_plumb_gtk-funksjon) oppstår ved behandling av meldinger hvis produsentinformasjonsfeltinnhold overstiger 164 byte.
Kilde: opennet.ru