V ovládačoch pre bezdrôtové čipy Broadcom štyri . V najjednoduchšom prípade môžu byť zraniteľné miesta použité na vzdialené odmietnutie služby, ale nemožno vylúčiť scenáre, v ktorých je možné vyvinúť exploity, ktoré umožnia neoverenému útočníkovi spustiť svoj kód s privilégiami linuxového jadra odosielaním špeciálne navrhnutých paketov.
Problémy boli identifikované reverzným inžinierstvom firmvéru Broadcom. Ovplyvnené čipy sa široko používajú v prenosných počítačoch, smartfónoch a rôznych spotrebiteľských zariadeniach, od inteligentných televízorov až po zariadenia internetu vecí. Čipy Broadcom sa používajú najmä v smartfónoch od výrobcov ako Apple, Samsumg a Huawei. Je pozoruhodné, že spoločnosť Broadcom bola upozornená na chyby zabezpečenia už v septembri 2018, ale vydanie opráv v koordinácii s výrobcami zariadení trvalo približne 7 mesiacov.
Dve zraniteľnosti ovplyvňujú interný firmvér a potenciálne umožňujú spúšťanie kódu v prostredí operačného systému používaného v čipoch Broadcom, čo umožňuje útočiť na prostredia, ktoré nepoužívajú Linux (napríklad bola potvrdená možnosť napadnutia zariadení Apple ). Pripomeňme si, že niektoré čipy Broadcom Wi-Fi sú špecializovaným procesorom (ARM Cortex R4 alebo M3), na ktorom beží podobný operačný systém s implementáciou jeho bezdrôtového zásobníka 802.11 (FullMAC). V takýchto čipoch ovládač zabezpečuje interakciu hlavného systému s firmvérom čipu Wi-Fi. Na získanie plnej kontroly nad hlavným systémom po ohrození FullMAC sa navrhuje použiť ďalšie zraniteľnosti alebo na niektorých čipoch využiť plný prístup k systémovej pamäti. V čipoch so SoftMAC je bezdrôtový zásobník 802.11 implementovaný na strane ovládača a vykonávaný pomocou systémového CPU.
Zraniteľnosť ovládača sa objavuje v proprietárnom ovládači wl (SoftMAC a FullMAC) aj v open source brcmfmac (FullMAC). V ovládači wl boli zistené dve pretečenia vyrovnávacej pamäte, ktoré boli zneužité, keď prístupový bod prenáša špeciálne naformátované správy EAPOL počas procesu vyjednávania o pripojení (útok je možné vykonať pri pripájaní sa k škodlivému prístupovému bodu). V prípade čipu so SoftMAC vedú zraniteľnosti ku kompromitácii jadra systému a v prípade FullMAC môže byť kód spustený na strane firmvéru. brcmfmac obsahuje pretečenie vyrovnávacej pamäte a chybu kontroly rámca využívanú odosielaním riadiacich rámcov. Problémy s ovládačom brcmfmac v jadre Linuxu vo februári.
Identifikované slabé miesta:
- CVE-2019-9503 - nesprávne správanie ovládača brcmfmac pri spracovaní riadiacich rámcov používaných na interakciu s firmvérom. Ak rámec s udalosťou firmvéru prichádza z externého zdroja, ovládač ho zahodí, ale ak je udalosť prijatá cez internú zbernicu, rámec sa preskočí. Problém je v tom, že udalosti zo zariadení využívajúcich USB sa prenášajú cez internú zbernicu, čo umožňuje útočníkom úspešne prenášať riadiace rámce firmvéru pri použití bezdrôtových adaptérov s rozhraním USB;
- CVE-2019-9500 – Keď je povolená funkcia „Wake-up on Wireless LAN“, je možné spôsobiť pretečenie haldy v ovládači brcmfmac (funkcia brcmf_wowl_nd_results) odoslaním špeciálne upraveného ovládacieho rámca. Túto zraniteľnosť možno použiť na organizáciu spúšťania kódu v hlavnom systéme po kompromitácii čipu alebo v kombinácii so zraniteľnosťou CVE-2019-9503 na obídenie kontrol v prípade vzdialeného odoslania riadiaceho rámca;
- CVE-2019-9501 - pretečenie vyrovnávacej pamäte v ovládači wl (funkcia wlc_wpa_sup_eapol), ku ktorému dochádza pri spracovaní správ, ktorých obsah poľa informácií o výrobcovi presahuje 32 bajtov;
- CVE-2019-9502 – K pretečeniu vyrovnávacej pamäte v ovládači wl (funkcia wlc_wpa_plumb_gtk) dochádza pri spracovaní správ, ktorých obsah poľa informácií o výrobcovi presahuje 164 bajtov.
Zdroj: opennet.ru