Broadcom WiFi -piirivirheet mahdollistavat etähyökkäykset

bcm_global_stack

Muutama päivä sitten uutiset rikkoivat Broadcom-langattomien sirujen ohjaimet havaittiin neljä haavoittuvuuttaEttä ne mahdollistavat etähyökkäysten tekemisen laitteille, jotka sisältävät nämä sirut.   

Yksinkertaisimmassa tapauksessa haavoittuvuuksia voidaan käyttää palvelun estämiseen etä, mutta skenaarioita, joissa haavoittuvuudet voivat kehittyä, ei suljeta pois jotka antavat luvattoman hyökkääjän suorittaa koodisi Linux-ytimen oikeuksilla lähettämällä erityisesti muotoiltuja paketteja.

Nämä ongelmat tunnistettiin Broadcomin laiteohjelmiston käänteissuunnittelun aikana, jossa haavoittuvuusalttiita siruja käytetään laajalti kannettavissa tietokoneissa, älypuhelimissa ja erilaisissa kuluttajalaitteissa SmartTV: stä IoT-laitteisiin.

Broadcom-siruja käytetään erityisesti sellaisten valmistajien älypuhelimissa kuin Apple, Samsumg ja Huawei.

On huomattava, että Broadcom ilmoitettiin haavoittuvuuksista syyskuussa 2018, mutta se kesti noin 7 kuukautta (eli juuri tässä kuussa käynnissä) käynnistää korjaukset koordinoidusti laitevalmistajien kanssa.

Mitkä ovat havaitut haavoittuvuudet?

Kaksi haavoittuvuutta vaikuttaa sisäiseen laiteohjelmistoon ja mahdollisesti salli koodin suorittaminen käyttöjärjestelmäympäristössä käytetään Broadcom-siruissa.

mikä tahansa Voit hyökätä muihin kuin Linux-ympäristöihin (Esimerkiksi hyökkäyksen mahdollisuus Apple-laitteisiin, CVE-2019-8564 on vahvistettu)).

Tässä on tärkeää korostaa, että jotkut Broadcomin Wi-Fi-sirut ovat erikoistunut prosessori (ARM Cortex R4 tai M3), joka toimii käyttöjärjestelmän samankaltaisuutena sen 802.11-langattoman pinon (FullMAC) toteutuksista.

Mainituissa siruissa ohjain tarjoaa isäntäjärjestelmän vuorovaikutuksen sirun laiteohjelmiston kanssa Wi-Fi.

Hyökkäyksen kuvauksessa:

Täyden hallinnan saamiseksi pääjärjestelmästä sen jälkeen, kun FullMAC on vaarantunut, ehdotetaan, että joillakin siruilla käytetään lisähaavoittuvuuksia tai täyttä pääsyä järjestelmän muistiin.

SoftMAC-siruissa langaton 802.11-pino on toteutettu ohjaimen puolella ja sitä ohjaa järjestelmän keskusyksikkö.

Ohjaimissa haavoittuvuudet ilmenevät sekä wl: n omassa ohjaimessa (SoftMAC ja FullMAC) kuten avoimessa brcmfmacissa (FullMAC).

Wl-ohjaimessa havaitaan kaksi puskurin ylivuotoa, joita hyödynnetään, kun tukiasema lähettää erityisiä EAPOL-viestejä yhteysneuvotteluprosessin aikana (hyökkäys voidaan suorittaa muodostamalla yhteys haitalliseen tukiasemaan).

Jos kyseessä on siru, jossa on SoftMAC, haavoittuvuudet johtavat järjestelmän ytimen vaarantumiseen, ja FullMAC: n tapauksessa koodi voi toimia laiteohjelmiston puolella.

Brcmfmacissa on puskurin ylivuoto ja virheen tarkistus käsitellyille kehyksille, joita hyödynnetään ohjauskehyksiä lähettämällä. Linux-ytimessä ongelmat brcmfmac-ohjaimessa korjattiin helmikuussa.

Tunnistetut haavoittuvuudet

Neljä haavoittuvuutta, jotka paljastettiin viime vuoden syyskuun jälkeen, Ne on jo luetteloitu seuraaviin CVE: iin.

version_str

CVE-2019-9503

Brcmfmac-ohjaimen virheellinen käyttäytyminen ohjauskehyksiä käsiteltäessä, joita käytetään vuorovaikutuksessa laiteohjelmiston kanssa.

Jos kehys, jossa on laiteohjelmistotapahtuma, tulee ulkoisesta lähteestä, ohjain hylkää sen, mutta jos tapahtuma vastaanotetaan sisäisen väylän kautta, kehys jätetään huomioimatta.

Ongelma on siinä USB-laitteita käyttävät laitteet lähetetään sisäisen väylän kautta, jolloin hyökkääjät voivat siirtää laiteohjelmiston onnistuneesti joka ohjaa kehyksiä, jos käytetään langattomia USB-sovittimia;

CVE-2019-9500

Kun aktivoit toiminnon "Herätys langattomalla lähiverkolla" voi aiheuttaa ylivuotoa lähettämällä brcmfmac-ohjaimesta (toiminto brcmf_wowl_nd_results) erityisesti muokatun ohjauskehyksen.

Tämä haavoittuvuus voidaan käyttää koodin suorittamisen järjestämiseen isännässä sirun kytkemisen jälkeen tai yhdessä.

CVE-2019-9501

Puskurin ylivuoto wl-ohjaimessa (wlc_wpa_sup_eapol-toiminto), joka tapahtuu viestin käsittelyn aikana, valmistajan tietokentän sisältö ylittää 32 tavua.

CVE-2019-9502

Puskurin ylivuoto wl-ohjaimessa (wlc_wpa_plumb_gtk-toiminto), joka tapahtuu viestin käsittelyn aikana, valmistajan tietokentän sisältö ylittää 164 tavua.

lähde: https://blog.quarkslab.com


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.