Fallos en los chips Broadcom WiFi permiten ataques remotos

bcm_global_stack

Hace algunos días, se dio a conocer la noticia de que los controladores para los chips inalámbricos Broadcom fueron detectadas cuatro vulnerabilidades, que permiten poder realizar ataques remotos a los dispositivos que incluyen estos chips.   

En el caso más simple, las vulnerabilidades se pueden usar para denegación de servicio remotas, pero no se excluyen los escenarios en los que se pueden desarrollar vulnerabilidades que permiten a un atacante no autenticado ejecutar su código con los privilegios del kernel de Linux mediante el envío de paquetes especialmente diseñados.

Estos problemas se identificaron durante la ingeniería inversa del firmware de Broadcom, en donde los chips propensos a la vulnerabilidad son ampliamente utilizados en computadoras portátiles, teléfonos inteligentes y varios dispositivos de consumo, desde SmartTV a dispositivos IoT.

En particular, los chips Broadcom se utilizan en los teléfonos inteligentes de fabricantes como Apple, Samsumg y Huawei.

Cabe destacar que Broadcom fue notificado de las vulnerabilidades en septiembre de 2018, pero demoró aproximadamente 7 meses (es decir apenas en este mes en curso) lanzar las correcciones coordinadas con los fabricantes de equipos.

¿Cuáles son las vulnerabilidades detectadas?

Dos vulnerabilidades afectan el firmware interno y potencialmente permiten la ejecución de código en el entorno del sistema operativo utilizado en los chips Broadcom.

Lo que permite atacar entornos que no utilizan Linux (por ejemplo, la posibilidad de un ataque en dispositivos Apple, CVE-2019-8564 está confirmada)).

Aquí es importante recalcar que algunos chips Broadcom Wi-Fi son un procesador especializado (ARM Cortex R4 o M3), que ejecutará la similitud de su sistema operativo desde las implementaciones de su pila inalámbrica 802.11 (FullMAC).

En dichos chips, el controlador proporciona la interacción del sistema principal con el firmware del chip Wi-Fi.

En la descripción del ataque:

Para obtener un control total sobre el sistema principal después de que se comprometa FullMAC, se propone utilizar vulnerabilidades adicionales o el acceso total a la memoria del sistema en algunos chips.

En los chips SoftMAC, la pila inalámbrica 802.11 se implementa en el lado del controlador y se ejecuta mediante una CPU del sistema.

En los controladores, las vulnerabilidades se manifiestan tanto en el controlador propietario de wl (SoftMAC y FullMAC) como en el brcmfmac abierto (FullMAC).

En el controlador wl, se detectan dos desbordamientos de búfer, que se explotan cuando el punto de acceso envía mensajes EAPOL especialmente diseñados durante el proceso de negociación de la conexión (se puede realizar un ataque al conectarse a un punto de acceso malicioso).

En el caso de un chip con SoftMAC, las vulnerabilidades conducen a un compromiso del núcleo del sistema, y ​​en el caso de FullMAC, el código puede ejecutarse en el lado del firmware.

En brcmfmac, hay un desbordamiento de búfer y un error que comprueba los marcos procesados, que se explotan mediante el envío de marcos de control. En el kernel de Linux, los problemas en el controlador brcmfmac se solucionaron en febrero.

Vulnerabilidades identificadas

Las cuatro vulnerabilidades que fueron dadas a conocer desde septiembre del año pasado, ya están catalogadas en los siguientes CVE.

version_str

CVE-2019-9503

El comportamiento incorrecto del controlador brcmfmac al procesar marcos de control utilizados para interactuar con el firmware.

Si un marco con un evento de firmware proviene de una fuente externa, el controlador lo descarta, pero si el evento se recibe a través del bus interno, el marco se omite.

El problema es que los eventos de dispositivos que usan USB se transmiten a través del bus interno, lo que permite a los atacantes transferir exitosamente el firmware que controla los marcos en el caso de usar adaptadores inalámbricos USB;

CVE-2019-9500

Cuando activa la función “Wake-up on Wireless LAN”, puede provocar un desbordamiento en el controlador brcmfmac (función brcmf_wowl_nd_results) enviando un marco de control especialmente modificado.

Esta vulnerabilidad se puede usar para organizar la ejecución del código en el sistema principal después del compromiso del chip o en combinación.

CVE-2019-9501

El desbordamiento de búfer en el controlador wl (función wlc_wpa_sup_eapol), que ocurre durante el procesamiento de mensajes, el contenido del campo de información del fabricante en el que excede los 32 bytes.

CVE-2019-9502

El desbordamiento de búfer en el controlador wl (función wlc_wpa_plumb_gtk), que ocurre durante el procesamiento de mensajes, el contenido del campo de información del fabricante en el que excede 164 bytes.

 

Fuente: https://blog.quarkslab.com

Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.