The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в драйверах к WiFi-чипам Broadcom, позволяющие удалённо атаковать систему

19.04.2019 11:01

В драйверах для беспроводных чипов Broadcom выявлено четыре уязвимости. В простейшем случае уязвимости могут использоваться для удалённого вызова отказа в обслуживании, но не исключаются и сценарии, при которых могут быть разработаны эксплоиты, позволяющие неаутентифицированному злоумышленнику выполнить свой код с привилегиями ядра Linux через отправку специальным образом оформленных пакетов.

Проблемы были выявлены в ходе обратного инжиниринга прошивок Broadcom. Подверженные уязвимостям чипы широко используются в ноутбуках, смартфонах и различных потребительских устройствах, от SmartTV до устройств интернета вещей. В частности, чипы Broadcom применяются в смартфонах таких производителей, как Apple, Samsung и Huawei. Примечательно, что компания Broadcom была уведомлена об уязвимостях ещё в сентябре 2018 года, но на скоординированный с производителями оборудования выпуск исправлений понадобилось около 7 месяцев.

Две уязвимости затрагивают внутренние прошивки и потенциально позволяют выполнить код в окружении используемой в чипах Broadcom операционной системы, что позволяет атаковать окружения не использующие Linux (например, подтверждена возможность совершения атаки на устройства Apple, CVE-2019-8564). Напомним, что некоторые Wi-Fi чипы Broadcom представляют собой специализированный процессор (ARM Cortex R4 или M3), на котором выполнятся подобие своей операционной системы с реализаций своего беспроводного стека 802.11 (FullMAC). В таких чипах драйвер обеспечивает взаимодействие основной системы с прошивкой Wi-Fi чипа. Для получения полного контроля за основной системой после компрометации FullMAC предлагается использовать дополнительные уязвимости или на некоторых чипах воспользоваться наличием полного доступа к системной памяти. В чипах с SoftMAC беспроводной стек 802.11 реализован на стороне драйвера и выполняется с применением системного CPU.

В драйверах уязвимости проявляются как в проприетарном драйвере wl (SoftMAC и FullMAC), так и в открытом brcmfmac (FullMAC). В драйвере wl выявлено два переполнения буфера, эксплуатируемые при передаче точкой доступа специально оформленных сообщений EAPOL в процессе согласования соединения (атака может быть совершена при подключении к вредоносной точке доступа). В случае чипа с SoftMAC уязвимости приводят к компрометации ядра системы, а в случае FullMAC код может быть выполнен на стороне прошивки. В brcmfmac присутствуют переполнение буфера и ошибка проверки обрабатываемых кадров, эксплуатируемые через отправку управляющих кадров. В ядре Linux проблемы в драйвере brcmfmac были устранены в феврале.

Выявленные уязвимости:

  • CVE-2019-9503 - некорректное поведение драйвера brcmfmac при обработке управляющих кадров, используемых для взаимодействия с прошивкой. Если кадр с событием прошивки поступает из внешнего источника драйвер его отбрасывает, но в случае если событие получено по внутренней шине, кадр пропускается. Проблема в том, что через внутреннюю шину передаются события от устройств, использующих USB, что позволяет атакующим успешно передавать управляющие прошивкой кадры в случае использования беспроводных адаптеров с интерфейсом USB;
  • CVE-2019-9500 - при включении функции "Wake-up on Wireless LAN" можно вызвать переполнение кучи в драйвере brcmfmac (функция brcmf_wowl_nd_results) через отправку специально изменённого управляющего кадра. Данная уязвимость может использоваться для организации выполнения кода в основной системе после компрометации чипа или в комбинации с уязвимостью CVE-2019-9503 для обхода проверок в случае удалённой отправки управляющего кадра;
  • CVE-2019-9501 - переполнение буфера в драйвере wl (функция wlc_wpa_sup_eapol), возникающее при обработке сообщений, содержимое поля с информацией о производителе в которых превышает 32 байта;
  • CVE-2019-9502 - переполнение буфера в драйвере wl (функция wlc_wpa_plumb_gtk), возникающее при обработке сообщений, содержимое поля с информацией о производителе в которых превышает 164 байта.


  1. Главная ссылка к новости (https://blog.quarkslab.com/rev...)
  2. OpenNews: Проект по использованию Wi-Fi чипов Broadcom в качестве универсального передатчика
  3. OpenNews: Выпуск Chrome OS 60 с устранением уязвимости в WiFi-чипах Broadcom
  4. OpenNews: Удалённо эксплуатируемая уязвимость в WiFi-чипах Broadcom
  5. OpenNews: Уязвимости в Bluetooth-чипах TI, позволяющие удалённо выполнить код
  6. OpenNews: Broadcom открыл драйвер, прошивку и полную документацию для видеоускорителя VideoCore IV
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: broadcom, wifi
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (52) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:27, 19/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +26 +/
    Никогда не любил эту контору.
     
  • 1.2, Аноним (2), 11:28, 19/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ура, проприетарный драйвер обновят! Два года ждал!
     
     
  • 2.22, Аноним (22), 18:27, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Нет, это ты купишь себе новое устройство.
     
  • 2.36, InuYasha (?), 12:31, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь ждём пока прошивки доберутся до производителей ноутов, а те, в свою очередь их оттестируют, включат в новые биос-обновления, раздадут юзерам...
     
     
  • 3.41, Аноним (41), 13:52, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Прошивка WiFi-чипа подгружается драйвером и распространяется вместе с ним.
     

  • 1.3, Аноним (3), 11:30, 19/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Atheros наше всё. Bcm пакость редкая, помню по powerbook ещё
     
     
  • 2.16, Fnjv (?), 16:25, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это ваш PowerBook был дерьмом редкостным как и остальные пк от Эпл, впрочем.
     
  • 2.19, apt update (?), 17:32, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Atheros наше всё

    У вас очепятка в слове Intel.

     
     
  • 3.32, Аноним (32), 09:36, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    у интела несвободные фирмвари, а у Atheros ath9k - и драйвера и фирмвари опенсорсные
     
     
  • 4.34, Аноним (41), 11:30, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А остались ещё в продаже железки под ath9k?
     
  • 4.45, Anabis (?), 18:16, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >ath9k

    Ну так найди мне такую в продаже, а вот интел я найду легко

     
     
  • 5.48, Аноним (48), 11:28, 21/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На алиэкспрессе их сотни.
     
  • 4.46, Mark (??), 22:27, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >у интела несвободные фирмвари

    И что из этого следует? Зато работает!

     
     
  • 5.50, Аноним (50), 16:43, 23/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проприетарные дрова от Broadcom тоже "зато работают" - только вот дырявые! И в несвободных фирмварях интеля наверняка тоже скрываются дыры, возможно даже преднамеренные: если исходники закрыты, значит есть что скрывать.
     
  • 2.24, Sluggard (ok), 20:35, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Bcm пакость редкая

    А в чём это выражается, если не секрет? Помимо того, что зачастую нужен проприпретарный broadcom-wl?

     
     
  • 3.51, Аноним (50), 16:44, 23/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пакость например кроется в дырах, про которые новость. Проприетарщина зачастую просто кишит дырами!
     

  • 1.4, ryoken (ok), 11:57, 19/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    И на роутеры они сурсы жмут и тут всякая бяка лазает. Atheros такого себе не позволяет :).
     
     
  • 2.11, Аноним (-), 14:03, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Семен Семеныч, Вас прекрасно поняли и с первого раза
     

  • 1.5, iPony (?), 11:59, 19/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Ну под macOS обновление то прилетело.
    А если у меня Apple Airport, то там как? 😮
     
     
  • 2.6, sdog (ok), 12:46, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    шеф, всё пропало!
     
  • 2.7, Аноним (7), 13:25, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Элоп уладил разногласия с бродкомовской берестой.
     
  • 2.8, Аноним (7), 13:27, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можете сходить к своим пассивненьким рубистам.
     
  • 2.14, zanswer CCNA RS and S (?), 15:37, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Дождаться обновления firmware для вашего AirPort, если там вообще установлен такой чип.
     
  • 2.33, Аноним (33), 10:49, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Там через одну из дыр обновление прилетит.
     

  • 1.10, Аноним (10), 13:59, 19/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Na El Capitan ne pridet :(
     
  • 1.12, CHERTS (ok), 15:03, 19/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Люди которые нашли эту брешь называют ее уязвимостью, а люди которые ее придумали и внедрили - бэкдор, но правду не узнает никто, ведь большому брату нужно как-то наблюдать за подаванами...
     
     
  • 2.37, InuYasha (?), 12:33, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    за стадом. "подаван" - это, вроде как, ученик.
     
     
  • 3.42, Аноним (41), 13:55, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Подаван — это тот, кто подаёт. Не знаю вот только, кушать, мяч или милостыню.
    Ученик джедая — падаван.
     

  • 1.13, Анонимс (?), 15:30, 19/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Купил себе хомяк за 1к$ новенький флагман. Идёт по улице довольный, улыбка до ушей, а его уже поимели^W взломали все, кому не лень через удалённую уязвимость в ви-фи чипах от Броадком(такая приятная пасхалка). Отсюда вывод, нет ничего лучше, чем новенькая, кнопочная Нокия, данные и нервы целы, да и спится по ночам как-то спокойнее)
     
     
  • 2.18, Аноним (18), 17:27, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Нокия из нулевых, если у кого сохранилась, даже лучше. Тогда слежка за пользователями ещё не успела набрать такие обороты.
     
  • 2.20, G0Dzilla (ok), 17:38, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Один нюанс: Nokia погибла под давлением жизни. А так, все хорошо...
     
     
  • 3.23, Аноним (22), 18:28, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >под давлением жизни

    это так теперь Microsoft и китайская гебня называются?

     
  • 2.25, Онаним (?), 20:56, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А уж как хорош домашний проводной телефон... отключенный за неуплату. Спокойствие, только спокойствие.
     

  • 1.15, Аноним (41), 16:13, 19/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так давно не сталкивался с wl, что думал, он давно издох. Оказывается, это просто я так хорошо научился обходить его стороной.
     
  • 1.17, YetAnotherOnanym (ok), 17:18, 19/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хы... А как насчёт иконы опенсорсного хардваре по имени "малинкапай"?
     
     
  • 2.21, Аноним (41), 18:22, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А там нет WiFi. Там другие дыры, ширше и глубже.
     
     
  • 3.26, Онаним (?), 20:57, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть там WiFi в 3 модели. И хз чего с ним, надо смотреть.
     
     
  • 4.27, Онаним (?), 21:02, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Б**дь
    brcmfmac
     
     
  • 5.28, Онаним (?), 21:04, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Выгрузил нафиг от греха подальше.
     
  • 2.29, . (?), 23:05, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    "Аналогичная проблема у Raspberry Pi, где CPU и GPU встроены в тот же чип BCM2837B0. Центральный процессор представляет собой 64-разрядный ARM A53 на 1400 МГц (в Pi 3B), а графический — двухъядерный 32-разрядный VideoCore IV с частотой 400 МГц. Интеграция CPU и GPU популярна в мобильном мире, потому что снижает цену и энергопотребление. "

    "Таким образом, в последнем Pi шесть ядер, но только четыре из них ARM. На процессоре работает Linux, но вас может удивить, что Linux на данном устройстве — гражданин второго класса. Ядра GPU работают под управлением операционной системы реального времени ThreadX. Эта ОС с закрытыми исходниками управляет системой без ведома ядра Linux."

    "Когда GPU позволит CPU загрузить ядро Linux, он не просто уходит со сцены, работая лишь как графический процессор. Нет, GPU по-прежнему главный. Вы когда-нибудь думали, кто выводит эти логотипы, когда Pi подключается к HDMI? Или эти символы молнии или температуры в предупреждающих значках? Вот именно, это делает система ThreadX на GPU, а Linux вообще не знает, что происходит."

     
  • 2.30, . (?), 23:08, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если эта информация верна, в малинке с опенсорсом дела не очень хорошо обстоят, как и с безопасностью.
     
     
  • 3.35, Онаним (?), 11:30, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так известо, что Pi - махровая броадкомовская проприетарь по чипу. Фирмварь видеопроцессора закрытая.
     
  • 2.39, Аноним (39), 13:01, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > опенсорсного хардваре

    лооооооооооооол. где можно скачать схему PCB?

     
  • 2.40, Аноним (39), 13:06, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    к слову у китайских плат на аллвиннерах тоже бродкомы в качеству вифи. но там не brcmfmac, а какой-то ap6210. они тоже дырявые?
     

  • 1.31, kiwinix (?), 04:37, 20/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Харе уже пилить уязвимости
     
  • 1.38, InuYasha (?), 12:37, 20/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ath, конечно, хорошо, но, вот, кто его ID-шники впилит мне в UEFI? Всякие Асусы-Леновы не любят, когда в них что-то несертифицированное пихают!
     
     
  • 2.43, Аноним (41), 14:04, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И что, грузиться отказываются?
     
     
  • 3.52, Аноним (50), 16:48, 23/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Отказываются, но проблему можно решить или выпиливанием Whitelist - или, если это сложно, хотя бы заменой ID-шников "одобренного" WiFi в этом вайтлисте на ID того что хотите поставить.
     
  • 2.44, qweo (?), 14:10, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за информацию! А кого ещё ловили за руку на таком DRM (кроме Dell и, до Lenovo, IBM)? Если можно, хотелось бы ссылок (но если опытом поделитесь - тоже прекрасно).
    Чёрный список компаний стал на одну больше :-(
     
     
  • 3.47, Аноним (47), 09:10, 21/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А не проще ли вести белый список? Кого еще НЕ ловили за руку?
    Огласите пожалуйста, люди добрые. кто следил за новостями? Ась? Нетути?..
     
     
  • 4.53, Аноним (50), 16:49, 23/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все пакостят понемногу, но проблема решается небольшим модом UEFI (см. выше) - или сами отмодьте, или обратитесь на биос модс - вам там помогут
     
  • 3.54, InuYasha (?), 11:50, 25/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Спасибо за информацию! А кого ещё ловили за руку на таком DRM
    > (кроме Dell и, до Lenovo, IBM)? Если можно, хотелось бы ссылок
    > (но если опытом поделитесь - тоже прекрасно).
    > Чёрный список компаний стал на одну больше :-(

    Это зря - whitelist есть практически у всех. Почему? А потому что FCC (местный РКН) сертифицирует ноут целиком и за большие деньги чтобы допустить на рынок. Сертифицировать ноут со всеми возможными адаптерами нереально. А уж с ещё не существующими - и подавно. Вот такая СШАшка.

     
     
  • 4.55, qweo (?), 01:23, 18/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > FCC (местный РКН) сертифицирует ноут целиком и за большие деньги чтобы
    > допустить на рынок. Сертифицировать ноут со всеми возможными адаптерами нереально. А
    > уж с ещё не существующими - и подавно. Вот такая СШАшка.

    Интересно было узнать о причинах. Но наличие незалоченных вариантов в американской рознице (и от американских брэндов) намекает, что так делать необязательно.

    А Toshiba (о подобном за-DRM'ливании которой узнал по ссылке из сегодняшней новости о RYF-железках) прогибается под FCC, японский аналог, или всё-таки хочет нажиться на переферии, как Dell в той истории с серверными ЖД на IThappens? :I

     

  • 1.49, Аноним (49), 16:55, 22/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это тот же BroadPwn или другая уязвимость?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру