Sa mga driver para sa Broadcom wireless chips apat . Sa pinakasimpleng kaso, ang mga kahinaan ay maaaring gamitin upang malayuang magdulot ng pagtanggi sa serbisyo, ngunit ang mga senaryo ay hindi maibubukod kung saan ang mga pagsasamantala ay maaaring mabuo na nagbibigay-daan sa isang hindi authenticated na attacker na isagawa ang kanilang code gamit ang mga pribilehiyo ng Linux kernel sa pamamagitan ng pagpapadala ng mga espesyal na idinisenyong packet.
Natukoy ang mga problema sa pamamagitan ng reverse engineering ng Broadcom firmware. Ang mga apektadong chip ay malawakang ginagamit sa mga laptop, smartphone at iba't ibang consumer device, mula sa mga SmartTV hanggang sa Internet of Things na mga device. Sa partikular, ang mga Broadcom chips ay ginagamit sa mga smartphone mula sa mga tagagawa gaya ng Apple, Samsumg at Huawei. Kapansin-pansin na naabisuhan ang Broadcom tungkol sa mga kahinaan noong Setyembre 2018, ngunit tumagal ng humigit-kumulang 7 buwan upang mailabas ang mga pag-aayos sa pakikipag-ugnayan sa mga tagagawa ng kagamitan.
Dalawang kahinaan ang nakakaapekto sa panloob na firmware at potensyal na payagan ang code na maisagawa sa kapaligiran ng operating system na ginagamit sa Broadcom chips, na ginagawang posible na atakehin ang mga kapaligiran na hindi gumagamit ng Linux (halimbawa, ang posibilidad ng pag-atake sa mga Apple device ay nakumpirma na. ). Alalahanin natin na ang ilang Broadcom Wi-Fi chip ay isang dalubhasang processor (ARM Cortex R4 o M3), na nagpapatakbo ng katulad na operating system na may mga pagpapatupad ng 802.11 wireless stack nito (FullMAC). Sa ganitong mga chip, tinitiyak ng driver ang pakikipag-ugnayan ng pangunahing sistema sa firmware ng Wi-Fi chip. Upang makakuha ng ganap na kontrol sa pangunahing sistema pagkatapos na makompromiso ang FullMAC, iminumungkahi na gumamit ng mga karagdagang kahinaan o, sa ilang mga chip, samantalahin ang ganap na access sa memorya ng system. Sa mga chip na may SoftMAC, ang 802.11 wireless stack ay ipinapatupad sa driver side at isinasagawa gamit ang system CPU.
Ang mga kahinaan ng driver ay nangyayari sa parehong pagmamay-ari na wl driver (SoftMAC at FullMAC) at ang open source na brcmfmac (FullMAC). Dalawang buffer overflow ang nakita sa wl driver, na pinagsamantalahan kapag ang access point ay nagpapadala ng mga espesyal na format na EAPOL na mensahe sa panahon ng proseso ng negosasyon sa koneksyon (ang pag-atake ay maaaring isagawa kapag kumokonekta sa isang malisyosong access point). Sa kaso ng isang chip na may SoftMAC, ang mga kahinaan ay humahantong sa kompromiso ng kernel ng system, at sa kaso ng FullMAC, ang code ay maaaring isagawa sa panig ng firmware. Ang brcmfmac ay naglalaman ng buffer overflow at isang frame checking error na pinagsamantalahan sa pamamagitan ng pagpapadala ng mga control frame. Mga problema sa brcmfmac driver sa Linux kernel sa Pebrero.
Natukoy na mga kahinaan:
- CVE-2019-9503 - maling pag-uugali ng brcmfmac driver kapag pinoproseso ang mga control frame na ginamit upang makipag-ugnayan sa firmware. Kung ang isang frame na may firmware na kaganapan ay nagmula sa isang panlabas na pinagmulan, ang driver ay itatapon ito, ngunit kung ang kaganapan ay natanggap sa pamamagitan ng panloob na bus, ang frame ay nilaktawan. Ang problema ay ang mga kaganapan mula sa mga device na gumagamit ng USB ay ipinapadala sa pamamagitan ng panloob na bus, na nagpapahintulot sa mga umaatake na matagumpay na magpadala ng mga frame ng kontrol ng firmware kapag gumagamit ng mga wireless adapter na may USB interface;
- CVE-2019-9500 β Kapag pinagana ang feature na βWake-up on Wireless LAN,β posibleng magdulot ng heap overflow sa brcmfmac driver (function na brcmf_wowl_nd_results) sa pamamagitan ng pagpapadala ng espesyal na binagong control frame. Ang kahinaan na ito ay maaaring gamitin upang ayusin ang pagpapatupad ng code sa pangunahing sistema pagkatapos na makompromiso ang chip o kasama ang kahinaan ng CVE-2019-9503 na i-bypass ang mga pagsusuri sa kaganapan ng malayuang pagpapadala ng isang control frame;
- CVE-2019-9501 - isang buffer overflow sa wl driver (ang wlc_wpa_sup_eapol function) na nangyayari kapag nagpoproseso ng mga mensahe na ang nilalaman ng field ng impormasyon ng manufacturer ay lumampas sa 32 byte;
- CVE-2019-9502 - Ang buffer overflow sa wl driver (wlc_wpa_plumb_gtk function) ay nangyayari kapag nagpoproseso ng mga mensahe na ang nilalaman ng field ng impormasyon ng manufacturer ay lumampas sa 164 bytes.
Pinagmulan: opennet.ru