启明星辰ADLab:博通Wi-Fi驱动多个安全漏洞预警

发布时间 2019-04-21

博通是全球无线设备的主要供应商之一,博通的43系列的wifi芯片被广泛应用于智能手机、笔记本电脑、智能电视和物联网设备。近日,US-CERT发布了多个博通wi-Fi芯片驱动的安全预警(CVE-2019-9500、CVE-2019-9501、CVE-2019-9502、CVE-2019-9503)。


这四个漏洞分别是博通wl驱动中的两个堆溢出漏洞(CVE-2019-9501、CVE-2019-9502),开源的brcmfmac驱动中的数据帧验证绕过漏洞(CVE-2019-9503)及堆溢出漏洞(CVE-2019-9500)。未经授权的攻击者通过远程发送恶意的wifi包,在最严重的情况下,可以在受影响系统中执行任意代码。由于漏洞利用条件的受限,通常情况下,这些漏洞可以造成拒绝服务。



博通芯片驱动简介


博通WIFI芯片43xxx驱动程序集分为开源和专有两类。


开源

b43(Linux)

brcmsmac(SoftMAC / Linux)

brcmfmac(FullMAC / Linux)

bcmdhd(FullMAC /  Android)

专有

broadcom-sta(wl) ( SoftMAC  && FullMAC / Linux)



图1 博通芯片驱动及应用系统



漏洞分析


brcmfmac驱动两个漏洞(CVE-2019-9503、CVE-2019-9500)


博通Wi-Fi芯片与主机的输入输出接口采用USB,SDIO和PCIe三种Bus总线方式。在软件层面,驱动和主机的数据通信有两种方式,一种是IOCTRL,一种是Event事件通知。Wi-Fi芯片使用固件事件来通知主机不同的事件:扫描结果、关联/解除关联、身份验证等。


CVE-2019-9503


当brcmfmac驱动从远端来源接收到一个固件事件数据帧时,is_wlc_event_frame函数将被调用,该函数用于判断Event的数据帧。如果驱动从Host侧接受到该固件事件数据帧时,将会触发该判断机制。该函数存在漏洞,使得当使用USB的BUS接口(如外置USB wifi网卡)时,通过构造bcm_hdr.subtype>=0,该判断机制可以被绕过,从而造成远端来源的非法数据帧可以被后续流程处理。


图2 is_wlc_event_frame函数问题示意


CVE-2019-9500


brcmf_wowl_nd_results函数存在堆溢出漏洞。如果WLAN配置了唤醒功能,该函数将被用于重组事件数据帧。当驱动收到一个恶意构造的事件数据帧时,将会触发该漏洞。802.11协议规定eSSID字段不能大于32字节,当攻击者通过远程触发固件事件,事件帧中的SSID的长度大于32字节时,将会触发堆溢出漏洞。


图3 brcmf_wowl_nd_results函数问题示意


博通wl驱动中两个漏洞(CVE-2019-9501、 CVE-2019-9502)


CVE-2019-9501及 CVE-2019-9502是博通wl驱动中两个堆溢出漏洞,当设备访问AP热点时,在四次握手交互过程中的第三步,在驱动分析EAPOL消息时,将会触发这两个堆溢出漏洞。



图4 wl驱动漏洞示意图


CVE-2019-9501


AP向Station发送的EAPOL M3消息中,如果vendor information字段长度大于32字节时,将会在wlc_wpa_sup_eapol函数触发堆溢出漏洞。


CVE-2019-9502


AP向Station发送的EAPOL M3消息中,如果vendor information 字段长度大于164字节时,将会在wlc_wpa_plumb_gtk函数触发堆溢出漏洞。


图5 wlc_wpa_plumb_gtk函数问题示意 


受影响产品


博通公司


博通公司没有提供受影响产品信息。


Synology公司


Synology公司的RT1900ac产品受影响。该漏洞在RT1900ac产品中默认不被触发,当产品可以由管理员配置启用某项配置时,才会受影响。因此,Synology公司认为RT1900ac中该漏洞有一定的局限性,只有在特定的情况下才能触发。


Apple公司


Apple公司的macOS Sierra 10.12.6、macOS High Sierra 10.13.6、 macOS Mojave 10.14.3产品受影响。


解决方案


Apple公司的brcmfmac驱动的漏洞已修复,用户可以更新相关的补丁,完成修复工作。
博通公司修复了Linux内核brcmfmac驱动中的CVE-2019-9503及CVE-2019-9500两个漏洞,用户可以更新相关的补丁,完成修复工作。
使用可信的WI-FI网络,特别是不要在公共场合连接不安全的wifi热点。


参考链接



1.https://blog.quarkslab.com/reverse-engineering-broadcom-wireless-chipsets.html
2.https://kb.cert.org/vuls/id/166939/
3.https://support.apple.com/en-us/HT209600
4.https://www.synology.cn/zh-cn/security/advisory/Synology_SA_19_18
5.https://git.kernel.org/linus/a4176ec356c73a46c07c181c6d04039fafa34a9f
6.https://git.kernel.org/linus/1b5e2423164b3670e8bc9174e4762d297990deff