Në drejtuesit për çipat me valë Broadcom katër . Në rastin më të thjeshtë, dobësitë mund të përdoren për të shkaktuar në distancë një mohim të shërbimit, por nuk mund të përjashtohen skenarët në të cilët mund të zhvillohen shfrytëzime që lejojnë një sulmues të paautentikuar të ekzekutojë kodin e tij me privilegjet e kernelit Linux duke dërguar pako të projektuara posaçërisht.
Problemet u identifikuan nga inxhinierimi i kundërt i firmuerit Broadcom. Çipat e prekur përdoren gjerësisht në laptopë, telefona inteligjentë dhe një sërë pajisjesh konsumatore, nga televizorët inteligjentë deri te pajisjet e Internetit të Gjërave. Në veçanti, çipat Broadcom përdoren në telefonat inteligjentë nga prodhues të tillë si Apple, Samsumg dhe Huawei. Vlen të përmendet se Broadcom u njoftua për dobësitë në shtator 2018, por u deshën rreth 7 muaj për të lëshuar rregullime në koordinim me prodhuesit e pajisjeve.
Dy dobësi ndikojnë në firmuerin e brendshëm dhe potencialisht lejojnë që kodi të ekzekutohet në mjedisin e sistemit operativ të përdorur në çipat Broadcom, gjë që bën të mundur sulmin ndaj mjediseve që nuk përdorin Linux (për shembull, është konfirmuar mundësia e sulmit të pajisjeve Apple ). Le të kujtojmë se disa çipa Broadcom Wi-Fi janë një procesor i specializuar (ARM Cortex R4 ose M3), i cili drejton një sistem operativ të ngjashëm me implementimet e stivës së tij wireless 802.11 (FullMAC). Në çipa të tillë, drejtuesi siguron ndërveprimin e sistemit kryesor me firmuerin e çipit Wi-Fi. Për të fituar kontroll të plotë mbi sistemin kryesor pasi të jetë komprometuar FullMAC, propozohet të përdoren dobësi shtesë ose, në disa çipa, të përfitohet nga aksesi i plotë në kujtesën e sistemit. Në çipat me SoftMAC, grupi me valë 802.11 zbatohet në anën e drejtuesit dhe ekzekutohet duke përdorur CPU-në e sistemit.
Dobësitë e drejtuesit shfaqen si në drejtuesin e pronarit wl (SoftMAC dhe FullMAC) dhe në brcmfmac me burim të hapur (FullMAC). Dy tejmbushje buferi u zbuluan në drejtuesin wl, të shfrytëzuara kur pika e hyrjes transmeton mesazhe të formatuara posaçërisht EAPOL gjatë procesit të negocimit të lidhjes (sulmi mund të kryhet kur lidhet me një pikë aksesi me qëllim të keq). Në rastin e një çipi me SoftMAC, dobësitë çojnë në kompromis të kernelit të sistemit, dhe në rastin e FullMAC, kodi mund të ekzekutohet në anën e firmuerit. brcmfmac përmban një tejmbushje buferi dhe një gabim kontrolli të kornizës të shfrytëzuar duke dërguar korniza kontrolli. Probleme me drejtuesin brcmfmac në kernelin Linux ne shkurt.
Dobësitë e identifikuara:
- CVE-2019-9503 - sjellje e gabuar e drejtuesit brcmfmac gjatë përpunimit të kornizave të kontrollit të përdorura për të bashkëvepruar me firmuerin. Nëse një kornizë me një ngjarje firmware vjen nga një burim i jashtëm, drejtuesi e hedh atë, por nëse ngjarja merret nëpërmjet autobusit të brendshëm, korniza anashkalohet. Problemi është se ngjarjet nga pajisjet që përdorin USB transmetohen përmes autobusit të brendshëm, i cili lejon sulmuesit të transmetojnë me sukses kornizat e kontrollit të firmuerit kur përdorin përshtatës me valë me një ndërfaqe USB;
- CVE-2019-9500 – Kur aktivizohet veçoria “Wake-up on Wireless LAN”, është e mundur të shkaktohet një tejmbushje grumbulli në drejtuesin e brcmfmac (funksioni brcmf_wowl_nd_results) duke dërguar një kornizë kontrolli të modifikuar posaçërisht. Kjo dobësi mund të përdoret për të organizuar ekzekutimin e kodit në sistemin kryesor pasi çipi është komprometuar ose në kombinim me cenueshmërinë CVE-2019-9503 për të anashkaluar kontrollet në rast të dërgimit në distancë të një kornize kontrolli;
- CVE-2019-9501 - një tejmbushje buferi në drejtuesin wl (funksioni wlc_wpa_sup_eapol) që ndodh kur përpunohen mesazhe, përmbajtja e fushës së informacionit të prodhuesit të të cilave tejkalon 32 bajt;
- CVE-2019-9502 - Një tejmbushje buferi në drejtuesin wl (funksioni wlc_wpa_plumb_gtk) ndodh kur përpunohen mesazhe, përmbajtja e fushës së informacionit të prodhuesit të të cilave tejkalon 164 bajt.
Burimi: opennet.ru