Trong trình điều khiển cho chip không dây Broadcom bốn . Trong trường hợp đơn giản nhất, các lỗ hổng có thể được sử dụng để gây ra sự từ chối dịch vụ từ xa, nhưng không thể loại trừ các tình huống trong đó các hoạt động khai thác có thể được phát triển cho phép kẻ tấn công không được xác thực thực thi mã của chúng bằng các đặc quyền của nhân Linux bằng cách gửi các gói được thiết kế đặc biệt.
Các vấn đề được xác định bằng kỹ thuật đảo ngược phần mềm Broadcom. Các chip bị ảnh hưởng được sử dụng rộng rãi trong máy tính xách tay, điện thoại thông minh và nhiều loại thiết bị tiêu dùng, từ SmartTV đến thiết bị Internet of Things. Đặc biệt, chip Broadcom được sử dụng trong điện thoại thông minh của các nhà sản xuất như Apple, Samsumg và Huawei. Đáng chú ý là Broadcom đã được thông báo về các lỗ hổng này vào tháng 2018 năm 7, nhưng phải mất khoảng XNUMX tháng mới có bản sửa lỗi phối hợp với các nhà sản xuất thiết bị.
Hai lỗ hổng ảnh hưởng đến phần sụn bên trong và có khả năng cho phép mã được thực thi trong môi trường hệ điều hành được sử dụng trong chip Broadcom, điều này có thể tấn công các môi trường không sử dụng Linux (ví dụ: khả năng tấn công các thiết bị Apple đã được xác nhận). ). Chúng ta hãy nhớ lại rằng một số chip Wi-Fi Broadcom là bộ xử lý chuyên dụng (ARM Cortex R4 hoặc M3), chạy hệ điều hành tương tự với việc triển khai ngăn xếp không dây 802.11 (FullMAC). Trong những con chip như vậy, trình điều khiển đảm bảo sự tương tác của hệ thống chính với phần sụn của chip Wi-Fi. Để giành toàn quyền kiểm soát hệ thống chính sau khi FullMAC bị xâm phạm, người ta đề xuất sử dụng các lỗ hổng bổ sung hoặc trên một số chip, tận dụng toàn quyền truy cập vào bộ nhớ hệ thống. Trong các chip có SoftMAC, ngăn xếp không dây 802.11 được triển khai ở phía trình điều khiển và được thực thi bằng CPU hệ thống.
Các lỗ hổng trình điều khiển xuất hiện trong cả trình điều khiển wl độc quyền (SoftMAC và FullMAC) và brcmfmac mã nguồn mở (FullMAC). Hai lỗi tràn bộ đệm đã được phát hiện trong trình điều khiển wl, bị khai thác khi điểm truy cập truyền các thông báo EAPOL được định dạng đặc biệt trong quá trình đàm phán kết nối (cuộc tấn công có thể được thực hiện khi kết nối với điểm truy cập độc hại). Trong trường hợp chip có SoftMAC, các lỗ hổng bảo mật dẫn đến xâm phạm nhân hệ thống và trong trường hợp FullMAC, mã có thể được thực thi ở phía phần sụn. brcmfmac chứa lỗi tràn bộ đệm và lỗi kiểm tra khung bị khai thác bằng cách gửi khung điều khiển. Sự cố với trình điều khiển bcmfmac trong nhân Linux trong tháng Hai.
Các lỗ hổng được xác định:
- CVE-2019-9503 - hành vi không chính xác của trình điều khiển brcmfmac khi xử lý các khung điều khiển được sử dụng để tương tác với phần sụn. Nếu khung có sự kiện phần sụn đến từ nguồn bên ngoài, trình điều khiển sẽ loại bỏ khung đó, nhưng nếu sự kiện được nhận qua bus nội bộ thì khung sẽ bị bỏ qua. Vấn đề là các sự kiện từ các thiết bị sử dụng USB được truyền qua bus nội bộ, cho phép kẻ tấn công truyền thành công các khung điều khiển phần sụn khi sử dụng bộ điều hợp không dây có giao diện USB;
- CVE-2019-9500 – Khi tính năng “Đánh thức trên mạng LAN không dây” được bật, có thể gây ra lỗi tràn heap trong trình điều khiển brcmfmac (chức năng brcmf_wowl_nd_results) bằng cách gửi khung điều khiển được sửa đổi đặc biệt. Lỗ hổng này có thể được sử dụng để tổ chức thực thi mã trong hệ thống chính sau khi chip bị xâm phạm hoặc kết hợp với lỗ hổng CVE-2019-9503 để bỏ qua kiểm tra trong trường hợp gửi khung điều khiển từ xa;
- CVE-2019-9501 - lỗi tràn bộ đệm trong trình điều khiển wl (hàm wlc_wpa_sup_eapol) xảy ra khi xử lý các thông báo có nội dung trường thông tin của nhà sản xuất vượt quá 32 byte;
- CVE-2019-9502 - Lỗi tràn bộ đệm trong trình điều khiển wl (chức năng wlc_wpa_plumb_gtk) xảy ra khi xử lý các thư có nội dung trường thông tin của nhà sản xuất vượt quá 164 byte.
Nguồn: opennet.ru