[English]Eine gravierende Sicherheitslücke in Broadcoms WiFi-Treibern ermöglicht eine Remote Code Execution und gefährdet Millionen Computer, Smartphones, Tablets und IoT-Geräte.
Die Broadcom-WiFi-Chipsatztreiber enthalten wohl gravierende Schwachstellen, die sich auf mehrere Betriebssysteme auswirken. Die Sicherheitslücken ermöglichen es potenziellen Angreifern, beliebigen Code aus der Ferne auszuführen (Remote Code Execution) und Denial-of-Service auszulosen. Inzwischen gibt es eine DHS/CISA-Warnung und eine Schwachstellenbeschreibung CERT/CC.
Die Beschreibung der Schwachstellen
Das CERT/CC schreibt in seiner Vulnerability Note VU#166939 vom 17. April 2019 folgendes:
The Broadcom wl driver and the open-source brcmfmac driver for Broadcom WiFi chipsets contain multiple vulnerabilities. The Broadcom wl driver is vulnerable to two heap buffer overflows, and the open-source brcmfmac driver is vulnerable to a frame validation bypass and a heap buffer overflow.
Es gibt wohl Pufferüberläufe in den Open Source-Treibern von Boradcom. Dem brcmfmac-Treiber sind die nachfolgenden CVEs zugeordnet worden:
- CVE-2019-9503: If the brcmfmac driver receives a firmware event frame from a remote source, the is_wlc_event_frame function will cause this frame to be discarded and not be processed. If the driver receives the firmware event frame from the host, the appropriate handler is called. This frame validation can be bypassed if the bus used is USB (for instance by a wifi dongle.). This can allow firmware event frames from a remote source to be processed.
- CVE-2019-9500: If the Wake-up on Wireless LAN functionality is configured, a malicious event frame can be constructed to trigger an heap buffer overflow in the brcmf_wowl_nd_results function. This vulnerability can be exploited by compromised chipsets to compromise the host, or when used in combination with the above frame validation bypass, can be used remotely.
Der brcmfmac-Treiber arbeitet aber nur mit Broadcom FullMAC-Chipsets. Allerdings gibt es auch Sicherheitslücken im Broadcom wl-Treiber, denen folgende CVEs zugeordnet wurden.
- CVE-2019-9501: By supplying a vendor information element with a data length larger than 32 bytes, a heap buffer overflow is triggered in wlc_wpa_sup_eapol.
- CVE-2019-9502: If the vendor information element data length is larger than 164 bytes, a heap buffer overflow is triggered in wlc_wpa_plumb_gtk.
Anmerkung: Wenn der wl-Treiber mit SoftMAC-Chipsätzen verwendet wird, werden diese Schwachstellen im Kernel des Hosts ausgelöst. Wenn ein FullMAC-Chipsatz verwendet wird, werden diese Schwachstellen in der Firmware des Chipsatzes ausgelöst.
Im schlimmsten Fall ist ein entfernter, nicht authentifizierter Angreifer durch das Senden von speziell entwickelten WiFi-Paketen in der Lage, beliebigen Code auf einem anfälligen System auszuführen. Typischerweise führen diese Schwachstellen zu Denial-of-Service-Angriffen. Inzwischen hat Broadcom aber aktualisierte Treiber bereitgestellt.
Praktikant findet fünf Sicherheitslücken
Bleeping Computer berichtet hier, dass Quarkslabs Praktikant Hugues Anguelkov fünf Schwachstellen im „Broadcom wl-Treiber und im Open-Source brcmfmac-Treiber für Broadcom WiFi-Chipsätze“ gefunden habe. Hugues untersuchte die Broadcom WiFi-Chips-Firmware mittels Fuzzy-Techniken auf Schwachstellen.
Diese Chips findet man fast überall in Geräten, von Smartphones über Laptops, SmartTVs bis hin zu IoT-Geräten. Die meisten Nutzer solcher Geräte verwenden wahrscheinlich einen solchen Treiber, ohne es zu wissen. Wer z.B. einen Dell-Laptop habt, kann eine bcm43224 oder eine bcm4352-Karte verwenden. Es ist auch wahrscheinlich, dass Nutzer einen Broadcom WiFi-Chip verwenden, wenn Sie ein iPhone, ein Mac-Book, ein Samsumg-oder ein Huawei-Smartphone usw. haben. Da diese Chips so weit verbreitet sind, stellen sie ein wertvolles Ziel für Angreifer dar, und jede gefundene Schwachstelle sollte daher als ein hohes Risiko angesehen werden.
Eine Liste aller 166 Anbieter, die potenziell gefährdete Broadcom-WiFi-Chipsätze in ihren Geräten verwenden, finden Sie am Ende der CERT/CC vulnerability note. In diesem Blog-Beitrag von Hugues Anguelkov findet sich die Timeline für die Offenlegung. Broadcom hat die beiden Schwachstellen, die im Open Source brcmfmac Linux-Kernel Wireless-Treiber für FullMAC-Karten entdeckt wurden, am 14. Februar 2019 gepatcht.
Apple hat auch die Schwachstelle CVE-2019-8564 als Teil eines Sicherheitsupdates für macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.3 gepatcht und am 15. April, einen Tag bevor der Forscher die Schwachstellen bekannt gab, eine Beschreibung des Problems in das Patch-Changelog aufgenommen.
Bleibt die Frage, ob und wann die restlichen Hersteller der Geräte entsprechende Firmware- und Treiberaktualisierungen bereitstellen. Weitere Details lassen sich bei Bleeping-Computer, im Beitrag von Hugues Anguelkov und in der CERT/CC vulnerability note nachlesen.
Betrifft das nur Linux und OS-X, oder auch Windows-Treiber von Broadcom für WLAN-Chipsätze?
Ich interpretiere den Text so, dass auch Windows-Geräte betroffen sein können, wenn entsprechende Netzwerkkomponenten mit den Treibern bzw. der Firmware eingesetzt wird. Ob das zutrifft, kann ich aber nicht sagen – heise schreibt allerdings nichts über Windows.