V ovládačoch pre bezdrôtové čipy Broadcom
Problémy boli identifikované reverzným inžinierstvom firmvéru Broadcom. Ovplyvnené čipy sa široko používajú v prenosných počítačoch, smartfónoch a rôznych spotrebiteľských zariadeniach, od inteligentných televízorov až po zariadenia internetu vecí. Čipy Broadcom sa používajú najmä v smartfónoch od výrobcov ako Apple, Samsumg a Huawei. Je pozoruhodné, že spoločnosť Broadcom bola upozornená na chyby zabezpečenia už v septembri 2018, ale vydanie opráv v koordinácii s výrobcami zariadení trvalo približne 7 mesiacov.
Dve zraniteľnosti ovplyvňujú interný firmvér a potenciálne umožňujú spúšťanie kódu v prostredí operačného systému používaného v čipoch Broadcom, čo umožňuje útočiť na prostredia, ktoré nepoužívajú Linux (napríklad bola potvrdená možnosť napadnutia zariadení Apple
Zraniteľnosť ovládača sa objavuje v proprietárnom ovládači wl (SoftMAC a FullMAC) aj v open source brcmfmac (FullMAC). V ovládači wl boli zistené dve pretečenia vyrovnávacej pamäte, ktoré boli zneužité, keď prístupový bod prenáša špeciálne naformátované správy EAPOL počas procesu vyjednávania o pripojení (útok je možné vykonať pri pripájaní sa k škodlivému prístupovému bodu). V prípade čipu so SoftMAC vedú zraniteľnosti ku kompromitácii jadra systému a v prípade FullMAC môže byť kód spustený na strane firmvéru. brcmfmac obsahuje pretečenie vyrovnávacej pamäte a chybu kontroly rámca využívanú odosielaním riadiacich rámcov. Problémy s ovládačom brcmfmac v jadre Linuxu
Identifikované slabé miesta:
- CVE-2019-9503 - nesprávne správanie ovládača brcmfmac pri spracovaní riadiacich rámcov používaných na interakciu s firmvérom. Ak rámec s udalosťou firmvéru prichádza z externého zdroja, ovládač ho zahodí, ale ak je udalosť prijatá cez internú zbernicu, rámec sa preskočí. Problém je v tom, že udalosti zo zariadení využívajúcich USB sa prenášajú cez internú zbernicu, čo umožňuje útočníkom úspešne prenášať riadiace rámce firmvéru pri použití bezdrôtových adaptérov s rozhraním USB;
- CVE-2019-9500 – Keď je povolená funkcia „Wake-up on Wireless LAN“, je možné spôsobiť pretečenie haldy v ovládači brcmfmac (funkcia brcmf_wowl_nd_results) odoslaním špeciálne upraveného ovládacieho rámca. Túto zraniteľnosť možno použiť na organizáciu spúšťania kódu v hlavnom systéme po kompromitácii čipu alebo v kombinácii so zraniteľnosťou CVE-2019-9503 na obídenie kontrol v prípade vzdialeného odoslania riadiaceho rámca;
- CVE-2019-9501 - pretečenie vyrovnávacej pamäte v ovládači wl (funkcia wlc_wpa_sup_eapol), ku ktorému dochádza pri spracovaní správ, ktorých obsah poľa informácií o výrobcovi presahuje 32 bajtov;
- CVE-2019-9502 – K pretečeniu vyrovnávacej pamäte v ovládači wl (funkcia wlc_wpa_plumb_gtk) dochádza pri spracovaní správ, ktorých obsah poľa informácií o výrobcovi presahuje 164 bajtov.
Zdroj: opennet.ru