Broadcom simsiz chiplari uchun drayverlarda to'rtta . Eng oddiy holatda, zaifliklarni masofadan turib xizmat ko'rsatishni rad etish uchun ishlatish mumkin, ammo autentifikatsiya qilinmagan tajovuzkorga maxsus ishlab chiqilgan paketlarni yuborish orqali Linux yadrosi imtiyozlari bilan o'z kodini bajarishga imkon beruvchi ekspluatatsiyalar ishlab chiqilishi mumkin bo'lgan stsenariylarni istisno qilib bo'lmaydi.
Muammolar Broadcom mikrodasturini teskari muhandislik qilish orqali aniqlandi. Ta'sirlangan chiplar noutbuklar, smartfonlar va turli xil iste'molchi qurilmalarida, SmartTV'lardan tortib Internet narsalari qurilmalarigacha keng qo'llaniladi. Xususan, Broadcom chiplari Apple, Samsumg va Huawei kabi ishlab chiqaruvchilarning smartfonlarida qo'llaniladi. Shunisi e'tiborga loyiqki, Broadcom zaifliklar haqida 2018 yil sentyabr oyida xabardor qilingan, ammo uskuna ishlab chiqaruvchilar bilan kelishilgan holda tuzatishlarni chiqarish uchun taxminan 7 oy kerak bo'ldi.
Ikkita zaiflik ichki proshivkaga ta'sir qiladi va potentsial kodni Broadcom chiplarida ishlatiladigan operatsion tizim muhitida bajarishga imkon beradi, bu esa Linuxdan foydalanmaydigan muhitlarga hujum qilish imkonini beradi (masalan, Apple qurilmalariga hujum qilish ehtimoli tasdiqlangan. ). Eslatib o'tamiz, ba'zi Broadcom Wi-Fi chiplari ixtisoslashtirilgan protsessordir (ARM Cortex R4 yoki M3), u o'zining 802.11 simsiz stekini (FullMAC) amalga oshirish bilan o'xshash operatsion tizimni boshqaradi. Bunday chiplarda haydovchi asosiy tizimning Wi-Fi chip mikrodasturi bilan o'zaro ta'sirini ta'minlaydi. FullMAC buzilganidan keyin asosiy tizim ustidan to'liq nazoratni qo'lga kiritish uchun qo'shimcha zaifliklardan foydalanish yoki ba'zi chiplarda tizim xotirasiga to'liq kirish imkoniyatidan foydalanish taklif etiladi. SoftMAC-ga ega chiplarda 802.11 simsiz stek haydovchi tomonida amalga oshiriladi va tizim protsessoridan foydalanib bajariladi.
Drayv zaifliklari xususiy wl drayverida (SoftMAC va FullMAC) va ochiq manbali brcmfmac (FullMAC) da paydo bo'ladi. Wl drayverida ikkita bufer toshib ketishi aniqlandi, ulanish nuqtasi ulanish bo'yicha muzokaralar jarayonida maxsus formatlangan EAPOL xabarlarini uzatganda foydalaniladi (hujum zararli kirish nuqtasiga ulanishda amalga oshirilishi mumkin). SoftMAC bilan chip bo'lsa, zaifliklar tizim yadrosining buzilishiga olib keladi va FullMAC holatida kod proshivka tomonida bajarilishi mumkin. brcmfmac bufer to'lib ketishini va boshqaruv ramkalarini yuborish orqali foydalaniladigan freymni tekshirish xatosini o'z ichiga oladi. Linux yadrosidagi brcmfmac drayveri bilan bog'liq muammolar fevralda.
Aniqlangan zaifliklar:
- CVE-2019-9503 - proshivka bilan o'zaro ta'sir qilish uchun ishlatiladigan boshqaruv ramkalarini qayta ishlashda brcmfmac drayverining noto'g'ri harakati. Agar proshivka hodisasi bo'lgan ramka tashqi manbadan kelgan bo'lsa, drayver uni tashlab yuboradi, lekin agar hodisa ichki avtobus orqali qabul qilinsa, ramka o'tkazib yuboriladi. Muammo shundaki, USB-dan foydalanadigan qurilmalardan hodisalar ichki avtobus orqali uzatiladi, bu tajovuzkorlarga USB interfeysi bilan simsiz adapterlardan foydalanganda mikrodasturni boshqarish ramkalarini muvaffaqiyatli uzatish imkonini beradi;
- CVE-2019-9500 – “Simsiz LAN tarmog‘ida uyg‘onish” funksiyasi yoqilganda, maxsus o‘zgartirilgan boshqaruv ramkasini yuborish orqali brcmfmac drayverida (brcmf_wowl_nd_results funksiyasi) to‘planib ketishiga olib kelishi mumkin. Ushbu zaiflikdan chip buzilganidan keyin asosiy tizimda kod bajarilishini tashkil qilish yoki CVE-2019-9503 bilan birgalikda boshqaruv ramkasi masofadan yuborilganda tekshiruvlarni chetlab o‘tish zaifligidan foydalanish mumkin;
- CVE-2019-9501 - ishlab chiqaruvchi ma'lumot maydonining mazmuni 32 baytdan oshadigan xabarlarni qayta ishlashda yuzaga keladigan wl drayverida (wlc_wpa_sup_eapol funktsiyasi) bufer to'lib ketishi;
- CVE-2019-9502 - Wl drayverida bufer to'lib ketishi (wlc_wpa_plumb_gtk funktsiyasi) ishlab chiqaruvchi ma'lumot maydoni 164 baytdan oshadigan xabarlarni qayta ishlashda sodir bo'ladi.
Manba: opennet.ru