Недоліки чіпа Broadcom WiFi дозволяють віддалені атаки

bcm_global_stack

Кілька днів тому з’явилася новина про те, що драйвери для бездротових чіпів Broadcom було виявлено чотири вразливостіЩо вони дозволяють здійснювати віддалені атаки на пристрої, що містять ці мікросхеми.   

У найпростішому випадку вразливості можуть бути використані для відмови в обслуговуванні віддалений, але не виключені сценарії, в яких можуть розвиватися вразливості які дозволяють неавторизованому зловмиснику запускати ваш код із привілеями ядра Linux, надсилаючи спеціально створені пакети.

Ці проблеми були виявлені під час зворотного проектування прошивки Broadcom, де чіпи, схильні до вразливості, широко використовуються в ноутбуках, смартфонах та різних споживчих пристроях, починаючи від SmartTV і закінчуючи пристроями IoT.

Зокрема, чіпи Broadcom використовуються в смартфонах таких виробників, як Apple, Samsumg та Huawei.

Слід зазначити, що Broadcom було повідомлено про уразливості у вересні 2018 року, але це зайняло приблизно 7 місяців (Іншими словами, якраз цього місяця) коригування запуску, узгоджене з виробниками обладнання.

Які виявлені вразливості?

Дві вразливості впливають на внутрішню прошивку і потенційно дозволити виконання коду в середовищі операційної системи використовується в чіпах Broadcom.

Що Дозволяє атакувати середовища, що не належать до Linux (Наприклад, підтверджена можливість атаки на пристрої Apple, CVE-2019-8564)).

Тут важливо зазначити, що деякі мікросхеми Broadcom Wi-Fi є спеціалізованим процесором (ARM Cortex R4 або M3), який буде працювати подібним до вашої операційної системи з реалізаціями її бездротового стеку 802.11 (FullMAC).

У зазначених фішках, Контролер забезпечує взаємодію хост-системи з мікропрограмою мікросхеми Wi-Fi.

В описі атаки:

Щоб отримати повний контроль над основною системою після компрометації FullMAC, пропонується використовувати додаткові вразливості або повний доступ до системної пам'яті на деяких мікросхемах.

У чіпах SoftMAC бездротовий стек 802.11 реалізований на стороні контролера і управляється системним процесором.

У контролерах, вразливості проявляються як у власному драйвері wl (SoftMAC та FullMAC), як у відкритому brcmfmac (FullMAC).

У драйвері wl виявляються два переповнення буфера, які використовуються, коли точка доступу надсилає спеціально створені повідомлення EAPOL під час процесу узгодження з'єднання (атака може бути здійснена шляхом підключення до шкідливої ​​точки доступу).

У разі чіпа з SoftMAC вразливості призводять до компрометації системного ядра, а у випадку FullMAC код може працювати на стороні прошивки.

У brcmfmac є переповнення буфера та перевірка помилок для оброблених кадрів, які використовуються шляхом надсилання контрольних кадрів. У ядрі Linux проблеми з драйвером brcmfmac були виправлені в лютому.

Виявлені вразливості

Чотири вразливості, які були виявлені з вересня минулого року, вони вже занесені до наступних CVE.

version_str

CVE-2019-9503

Некоректна поведінка драйвера brcmfmac під час обробки кадрів управління, що використовуються для взаємодії з прошивкою.

Якщо кадр із подією прошивки надходить із зовнішнього джерела, контролер відкидає його, але якщо подія приймається через внутрішню шину, кадр ігнорується.

Проблема в тому події з пристроїв, що використовують USB, передаються через внутрішню шину, що дозволяє зловмисникам успішно передавати прошивку який керує кадрами у разі використання бездротових адаптерів USB;

CVE-2019-9500

Коли ви активуєте функцію "Пробудження по бездротовій локальній мережі" може призвести до переповнення у контролері brcmfmac (функція brcmf_wowl_nd_results), що надсилає спеціально модифіковану структуру управління.

Ця вразливість може використовуватися для організації виконання коду на хості після включення мікросхеми або в комбінації.

CVE-2019-9501

Переповнення буфера у драйвері wl (функція wlc_wpa_sup_eapol), яке відбувається під час обробки повідомлень, вміст інформаційного поля виробника в якому перевищує 32 байти.

CVE-2019-9502

Переповнення буфера у драйвері wl (функція wlc_wpa_plumb_gtk), яке відбувається під час обробки повідомлень, вміст інформаційного поля виробника в якому перевищує 164 байта.

Фуенте: https://blog.quarkslab.com


Будьте першим, щоб коментувати

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.