热门WiFi 芯片固件 ThreadX 中被曝多个漏洞
编译:360代码卫士团队
多种用于游戏、个人计算和通信目的的设备中所使用的 WiFi 芯片固件中被曝多种漏洞,至少其中一些漏洞可被用于远程执行任意代码,且无需任何用户交互。
这些安全漏洞存在于由 Express Logic 开发的实时操作系统 (RTOS) ThreadX 中。厂商在网站上表示 ThreadX 的部署数量超过62亿次,是驱动 WiFi 芯片的最流行的软件之一。
该固件同时也为 Marvell 公司的 Avastar 88W8897 SoC (WiFi + 蓝牙+NFC) 提供支持,它用于索尼 PlayStation 4(及其 Pro 变体)、微软 Surfac (+Pro) 平板和笔记本电脑、Xbox One、三星 Chromebook 和智能手机 (Galaxy J1) 和 Valve SteamLink 中。
WiFi 芯片初始化进程
WiFi 芯片通常是由制造商的驱动进行初始化,在启动例程中加载固件图像。
在 Marvell 的无线 SoC 上,一些驱动和 Linux 内核协作:’mwifiex’(源位于 Linux 官方库中)、’mlan’和‘mlinux’的源位于 steamlink-sdk 官方库中。
这两种功能都是为了调试能力,可允许从 WiFi 模块内存进行读写。
控制内存块分配
固件中存在的其中一个漏洞是块池溢出。当芯片扫描可用网络时即可触发该溢出,扫描每隔五分钟执行一次,即使设备已连接至 WiFi 网络也不例外;知道 WiFi 名称或访问密码无关紧要。
Embedi 公司的研究员 Denis Selianin 表示,“这就是为何这个 bug 如此酷的原因,它提供了在任何无线连接状况(即使设备并未连接至任何网络)且零点击交互的情况下利用设备的机会。例如,可以在已开启的三星 Chromebook 中执行远程代码执行漏洞。”
Selianin 在发布的报告中说明了两种利用方法。其中是在一定条件下适用于任何 ThreadX 固件上的利用方法,另外一种是专为模块上 Marvell 固件实现所设置的方法;结合使用这两种方法可导致可靠的利用。
在通用情况下,攻击者能够将指针覆写到下一个空闲内存块的指针并控制分配下一个块的位置。
“通过控制下一个块分配的位置好,攻击者可以将此块防止奥某些关键运行时结构或指针所在的位置,从而实现攻击者的代码执行操作。”Selianin 解释道。
利用 Marvell Avastar SoC 上的 bug 涉及为内存管理例程逆向工程包装函数。这种方法在下一个块被占用的情况下奏效。
这些函数在每个 ThreadX 块的开头使用一个元数据头,其中包含在释放块之前调用的特殊指针。此信息足以允许在无线 SoC 上执行代码。
Selianin 使用自定义工具从 Valve Steam Link 硬件设备(不再生产但仍然受支持)转储 WLAN 芯片的固件,并检查它是否与 afl-unicorn 模糊测试工具存在潜在的可利用漏洞问题。他找到了 jfour 内存损坏问题。
基于栈的缓冲区溢出
研究人员利用第二个提权漏洞,通过利用设备应用程序处理器驱动程序中的漏洞在 Valve 小工具的处理器上执行代码。利用该缺陷的方法类似于上一个利用方法。
Selianin 解释称,“唯一的区别在于,攻击者是通过 SDIO 总线从受控的 WiFi SoC 发送数据,而不是通过网络发送。”他补充表示,由于驱动程序充当设备和操作系统之间的桥梁,它应该从设备获取数据、解析并传递给操作系统。
Marvell WiFi 驱动用于执行这些操作的代码应当能够处理由信息元素组成的各种消息类型,从而形成广泛的攻击面。
Selianin 表示,另外一个漏洞是基于栈的缓冲区溢出,它可被轻易遭利用,原因是 Marvell 使用的 Linux 内核 (‘3.8.13-mrvl’) 不包括利用二进制文件的缓解。
攻击者只需两步即可利用该漏洞并运行指令:
1. 调用 v7_flush_kern_cache_ouis linux 内核函数。
2. 执行 shellcode。
关于利用 Valve SteamLink 上的 Marvell Avastar WiFi 模块的全链利用视频已发布。它展示了如何在无需用户交互的情况下实现无线利用。
Selianin 的动机是,使用这类芯片进行无线通信的设备尚未得到安全社区的充分审查。
他在去年11月俄罗斯莫斯科举行的 ZeroNights 安全大会上演示了自己的研究成果。他表示,在发布修复方案之前,他将公布利用的 wirte-up 以及所使用的工具。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/vulnerabilities-found-in-highly-popular-firmware-for-wifi-chips/