În driverele pentru cipurile wireless Broadcom patru . În cel mai simplu caz, vulnerabilitățile pot fi folosite pentru a provoca de la distanță o refuzare a serviciului, dar nu pot fi excluse scenarii în care pot fi dezvoltate exploit-uri care permit unui atacator neautentificat să-și execute codul cu privilegii de kernel Linux prin trimiterea de pachete special concepute.
Problemele au fost identificate prin inginerie inversă a firmware-ului Broadcom. Cipurile afectate sunt utilizate pe scară largă în laptopuri, smartphone-uri și o varietate de dispozitive de consum, de la SmartTV-uri până la dispozitive Internet of Things. În special, cipurile Broadcom sunt folosite în smartphone-urile de la producători precum Apple, Samsumg și Huawei. Este de remarcat faptul că Broadcom a fost notificat cu privire la vulnerabilități încă din septembrie 2018, dar a durat aproximativ 7 luni pentru a lansa remedieri în coordonare cu producătorii de echipamente.
Două vulnerabilități afectează firmware-ul intern și pot permite executarea codului în mediul sistemului de operare folosit în cipurile Broadcom, ceea ce face posibilă atacarea mediilor care nu folosesc Linux (de exemplu, a fost confirmată posibilitatea de a ataca dispozitivele Apple). ). Să ne amintim că unele cipuri Wi-Fi Broadcom sunt un procesor specializat (ARM Cortex R4 sau M3), care rulează un sistem de operare similar cu implementări ale stivei sale wireless 802.11 (FullMAC). În astfel de cipuri, driverul asigură interacțiunea sistemului principal cu firmware-ul cipului Wi-Fi. Pentru a obține controlul deplin asupra sistemului principal după ce FullMAC a fost compromis, se propune utilizarea unor vulnerabilități suplimentare sau, pe unele cipuri, să profite de accesul complet la memoria sistemului. În cipurile cu SoftMAC, stiva wireless 802.11 este implementată pe partea driverului și executată folosind CPU-ul sistemului.
Vulnerabilitatea driverului apar atât în driverul proprietar wl (SoftMAC și FullMAC), cât și în brcmfmac cu sursă deschisă (FullMAC). Au fost detectate două depășiri de buffer în driverul wl, exploatate atunci când punctul de acces transmite mesaje EAPOL special formatate în timpul procesului de negociere a conexiunii (atacul poate fi efectuat la conectarea la un punct de acces rău intenționat). În cazul unui cip cu SoftMAC, vulnerabilitățile duc la compromiterea nucleului sistemului, iar în cazul FullMAC, codul poate fi executat pe partea de firmware. brcmfmac conține un buffer overflow și o eroare de verificare a cadrelor exploatate prin trimiterea cadrelor de control. Probleme cu driverul brcmfmac din nucleul Linux în februarie.
Vulnerabilitati identificate:
- CVE-2019-9503 - comportament incorect al driverului brcmfmac la procesarea cadrelor de control utilizate pentru a interacționa cu firmware-ul. Dacă un cadru cu un eveniment de firmware provine dintr-o sursă externă, driverul îl renunță, dar dacă evenimentul este primit prin magistrala internă, cadrul este omis. Problema este că evenimentele de la dispozitivele care folosesc USB sunt transmise prin magistrala internă, ceea ce permite atacatorilor să transmită cu succes cadre de control firmware atunci când folosesc adaptoare fără fir cu o interfață USB;
- CVE-2019-9500 – Când funcția „Trezire pe LAN fără fir” este activată, este posibil să se provoace o depășire a heap-ului în driverul brcmfmac (funcția brcmf_wowl_nd_results) prin trimiterea unui cadru de control special modificat. Această vulnerabilitate poate fi folosită pentru a organiza execuția codului în sistemul principal după ce cipul a fost compromis sau în combinație cu vulnerabilitatea CVE-2019-9503 de a ocoli verificările în cazul trimiterii de la distanță a unui cadru de control;
- CVE-2019-9501 - o depășire a memoriei tampon în driverul wl (funcția wlc_wpa_sup_eapol) care apare la procesarea mesajelor al căror conținut de câmp de informații despre producător depășește 32 de octeți;
- CVE-2019-9502 - O depășire a memoriei tampon în driverul wl (funcția wlc_wpa_plumb_gtk) apare la procesarea mesajelor al căror conținut de câmp de informații despre producător depășește 164 de octeți.
Sursa: opennet.ru