Les failles de la puce WiFi Broadcom permettent des attaques à distance

bcm_global_stack

Il y a quelques jours, la nouvelle a éclaté que les pilotes des puces sans fil Broadcom quatre vulnérabilités ont été détectées, qui ils permettent de mener des attaques à distance sur des appareils intégrant ces puces.   

Dans le cas le plus simple, les vulnérabilités peuvent être utilisées pour un déni de service éloigné, mais les scénarios dans lesquels des vulnérabilités peuvent se développer ne sont pas exclus qui permettent à un attaquant non authentifié d'exécuter votre code avec les privilèges du noyau Linux en envoyant des packages spécialement conçus.

Ces problèmes ont été identifiés lors de la rétro-ingénierie du micrologiciel Broadcom, où les puces sensibles aux vulnérabilités sont largement utilisées dans les ordinateurs portables, les smartphones et divers appareils grand public, de la SmartTV aux appareils IoT.

En particulier, les puces Broadcom sont utilisées dans les smartphones de fabricants tels que Apple, Samsumg et Huawei.

Particulièrement Broadcom a été informé des vulnérabilités en septembre 2018, mais cela a pris environ 7 mois (En d'autres termes, juste ce mois-ci) lancer des corrections coordonnées avec les équipementiers.

Quelles sont les vulnérabilités détectées?

Deux vulnérabilités affectent le firmware interne et potentiellement autoriser l'exécution de code dans l'environnement du système d'exploitation utilisé dans les puces Broadcom.

Comme Permet d'attaquer les environnements non Linux (Par exemple, la possibilité d'une attaque sur les appareils Apple, CVE-2019-8564 est confirmée)).

Ici, il est important de noter que certaines puces Wi-Fi Broadcom sont un processeur spécialisé (ARM Cortex R4 ou M3), qui exécutera la similitude de votre système d'exploitation à partir des implémentations de sa pile sans fil 802.11 (FullMAC).

Dans ces puces, le contrôleur fournit une interaction du système hôte avec le micrologiciel de la puce Wi-Fi.

Dans la description de l'attaque:

Pour obtenir un contrôle total sur le système principal après la compromission de FullMAC, il est proposé d'utiliser des vulnérabilités supplémentaires ou un accès complet à la mémoire système sur certaines puces.

Dans les puces SoftMAC, la pile sans fil 802.11 est implémentée côté contrôleur et est exécutée par un processeur système.

Dans les contrôleurs, les vulnérabilités se manifestent à la fois dans le pilote propriétaire de wl (SoftMAC et FullMAC) comme dans le brcmfmac ouvert (FullMAC).

Dans le pilote wl, deux débordements de tampon sont détectés, exploités lorsque le point d'accès envoie des messages EAPOL spécialement conçus pendant le processus de négociation de connexion (une attaque peut être effectuée en se connectant à un point d'accès malveillant).

Dans le cas d'une puce avec SoftMAC, les vulnérabilités conduisent à une compromission du noyau système, et dans le cas de FullMAC, le code peut s'exécuter côté firmware.

Dans brcmfmac, il y a un débordement de tampon et une vérification d'erreur pour les trames traitées, qui sont exploitées par l'envoi de trames de contrôle. Dans le noyau Linux, les problèmes du pilote brcmfmac ont été corrigés en février.

Vulnérabilités identifiées

Les quatre vulnérabilités révélées depuis septembre de l'année dernière, ils sont déjà catalogués dans les CVE suivants.

chaîne_version

CVE-2019-9503

Le comportement incorrect du pilote brcmfmac lors du traitement des trames de contrôle utilisées pour interagir avec le micrologiciel.

Si une trame avec un événement de micrologiciel provient d'une source externe, le contrôleur la rejette, mais si l'événement est reçu via le bus interne, la trame est ignorée.

Le problème est que les événements des périphériques utilisant USB sont transmis sur le bus interne, permettant aux attaquants de transférer avec succès le micrologiciel qui contrôle les cadres dans le cas de l'utilisation d'adaptateurs sans fil USB;

CVE-2019-9500

Lorsque vous activez la fonction «Wake-up on Wireless LAN», peut provoquer un débordement dans le contrôleur brcmfmac (fonction brcmf_wowl_nd_results) envoyant un cadre de contrôle spécialement modifié.

Cette vulnérabilité peut être utilisé pour organiser l'exécution de code sur l'hôte après l'engagement de la puce ou en combinaison.

CVE-2019-9501

Le débordement de tampon dans le pilote wl (fonction wlc_wpa_sup_eapol), qui se produit pendant le traitement des messages, le contenu du champ d'informations du fabricant dans lequel dépasse 32 octets.

CVE-2019-9502

Le débordement de tampon dans le pilote wl (fonction wlc_wpa_plumb_gtk), qui se produit pendant le traitement des messages, le contenu du champ d'informations du fabricant dans lequel dépasse 164 octets.

source: https://blog.quarkslab.com


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.