Vulnerabilidades em drivers para chips Broadcom WiFi, permitindo atacar remotamente o sistema

Em drivers para chips sem fio da Broadcom identificado quatro vulnerabilidadesNo caso mais simples, as vulnerabilidades podem ser usadas para causar uma negação de serviço remota, mas não se podem descartar cenários em que sejam desenvolvidos exploits que permitam a um atacante não autenticado executar seu código com privilégios de kernel. Linux enviando embalagens especialmente concebidas.

Os problemas foram descobertos durante a engenharia reversa do firmware da Broadcom. Os chips afetados são amplamente utilizados em laptops, smartphones e diversos dispositivos de consumo, desde Smart TVs até dispositivos IoT. Especificamente, os chips da Broadcom são usados ​​em smartphones de fabricantes como Apple, Samsung e Huawei. Notavelmente, a Broadcom foi notificada das vulnerabilidades em setembro de 2018, mas levou aproximadamente sete meses para lançar as correções em coordenação com os fabricantes de hardware.

Duas vulnerabilidades afetam o firmware interno e potencialmente permitem a execução de código no ambiente do sistema operacional usado nos chips da Broadcom, o que possibilita ataques a ambientes que não utilizam o sistema operacional. Linux (por exemplo, a possibilidade de atacar dispositivos da Apple foi confirmada, CVE-2019-8564Como lembrete, alguns chips Wi-Fi da Broadcom possuem um processador dedicado (ARM Cortex R4 ou M3) que executa uma espécie de sistema operacional próprio com uma implementação de sua pilha wireless 802.11 (FullMAC). Nesses chips, o driver facilita a interação entre o sistema principal e o firmware do chip Wi-Fi. Para obter controle total do sistema principal após comprometer o FullMAC, recomenda-se explorar vulnerabilidades adicionais ou, em alguns chips, aproveitar o acesso total à memória do sistema. Em chips com SoftMAC, a pilha wireless 802.11 é implementada no lado do driver e executada usando a CPU do sistema.


Vulnerabilidades em drivers para chips Broadcom WiFi, permitindo atacar remotamente o sistema

Vulnerabilidades nos drivers afetam tanto o driver proprietário wl (SoftMAC e FullMAC) quanto o driver de código aberto brcmfmac (FullMAC). Dois estouros de buffer foram detectados no driver wl, explorados quando o ponto de acesso transmite mensagens EAPOL especialmente criadas durante a negociação de conexão (um ataque pode ser realizado ao conectar-se a um ponto de acesso malicioso). No caso do chip SoftMAC, as vulnerabilidades levam à comprometimento do kernel, enquanto no caso do FullMAC, a execução de código pode ocorrer no firmware. No brcmfmac, estão presentes um estouro de buffer e um erro de validação de quadro, explorados pelo envio de quadros de controle. No kernel Linux problemas com o driver brcmfmac foram eliminado em fevereiro.

Vulnerabilidades identificadas:

  • CVE-2019-9503 — Comportamento incorreto no driver brcmfmac ao processar quadros de controle usados ​​para comunicação com o firmware. Se um quadro com um evento de firmware vier de uma fonte externa, o driver o descarta, mas se o evento for recebido pelo barramento interno, o quadro é transmitido. O problema é que eventos de dispositivos USB são transmitidos pelo barramento interno, permitindo que invasores transmitam com sucesso quadros de controle de firmware ao usar adaptadores sem fio com interface USB.
  • CVE-2019-9500 — Quando o recurso "Wake-up on Wireless LAN" está habilitado, um estouro de heap pode ser acionado no driver brcmfmac (função brcmf_wowl_nd_results) pelo envio de um quadro de controle especialmente modificado. Essa vulnerabilidade pode ser usada para executar código no sistema host após o chip ser comprometido ou, em combinação com a CVE-2019-9503, para burlar as verificações quando um quadro de controle é enviado remotamente.
  • CVE-2019-9501 — um estouro de buffer no driver wl (função wlc_wpa_sup_eapol) que ocorre ao processar mensagens em que o conteúdo do campo de informações do fabricante excede 32 bytes;
  • CVE-2019-9502 — Ocorre um estouro de buffer no driver wl (função wlc_wpa_plumb_gtk) ao processar mensagens em que o conteúdo do campo de informações do fabricante excede 164 bytes.

Fonte: opennet.ru

Compre hospedagem confiável para sites com proteção DDoS, servidores VPS VDS 🔥 Compre hospedagem de sites confiável com proteção contra DDoS, servidores VPS/VDS | ProHoster