抖圈为赌而生ADLab：博通Wi-Fi驱动多个宁静漏洞警告

宣布时间 2019-04-21

博通是全球无线设备的主要供应商之一，博通的43系列的wifi芯片被广泛应用于智能手机、条记本电脑、智能电视和物联网设备。近日，US-CERT宣布了多个博通wi-Fi芯片驱动的宁静预警（CVE-2019-9500、CVE-2019-9501、CVE-2019-9502、CVE-2019-9503）。

这四个漏洞分别是博通wl驱动中的两个堆溢出漏洞（CVE-2019-9501、CVE-2019-9502），开源的brcmfmac驱动中的数据帧验证绕过漏洞（CVE-2019-9503）及堆溢出漏洞(CVE-2019-9500）。未经授权的攻击者通过远程发送恶意的wifi包，在最严重的情况下，可以在受影响系统中执行任意代码。由于漏洞利用条件的受限，通常情况下，这些漏洞可以造成拒绝服务。

博通芯片驱动简介

博通WIFI芯片43xxx驱动法式集分为开源和专有两类。

开源

b43（Linux）

brcmsmac（SoftMAC / Linux）

brcmfmac（FullMAC / Linux）

bcmdhd（FullMAC / Android）

专有

broadcom-sta(wl) ( SoftMAC && FullMAC / Linux)

尊龙抖圈 - 为du而生

图1 博通芯片驱动及应用系统

漏洞分析

brcmfmac驱动两个漏洞（CVE-2019-9503、CVE-2019-9500）

博通Wi-Fi芯片与主机的输入输出接口接纳USB，SDIO和PCIe三种Bus总线方式。在软件层面，驱动和主机的数据通信有两种方式，一种是IOCTRL，一种是Event事件通知。Wi-Fi芯片使用固件事件来通知主机差异的事件：扫描结果、关联/解除关联、身份验证等。

CVE-2019-9503

当brcmfmac驱动从远端来源接收到一个固件事件数据帧时，is_wlc_event_frame函数将被调用，该函数用于判断Event的数据帧。如果驱动从Host侧接受到该固件事件数据帧时，将会触发该判断机制。该函数存在漏洞，使恰当使用USB的BUS接口（如外置USB wifi网卡）时，通过结构bcm_hdr.subtype>=0，该判断机制可以被绕过，从而造成远端来源的非法数据帧可以被后续流程处置。

尊龙抖圈 - 为du而生

图2 is_wlc_event_frame函数问题示意

CVE-2019-9500

brcmf_wowl_nd_results函数存在堆溢出漏洞。如果WLAN配置了唤醒功效，该函数将被用于重组事件数据帧。当驱动收到一个恶意结构的事件数据帧时，将会触发该漏洞。802.11协议规定eSSID字段不能大于32字节，当攻击者通过远程触发固件事件，事件帧中的SSID的长度大于32字节时，将会触发堆溢出漏洞。

尊龙抖圈 - 为du而生

图3 brcmf_wowl_nd_results函数问题示意

博通wl驱动中两个漏洞（CVE-2019-9501、 CVE-2019-9502）

CVE-2019-9501及 CVE-2019-9502是博通wl驱动中两个堆溢出漏洞，当设备访问AP热点时，在四次握手交互过程中的第三步，在驱动分析EAPOL消息时，将会触发这两个堆溢出漏洞。

尊龙抖圈 - 为du而生

图4 wl驱动漏洞示意图

CVE-2019-9501

AP向Station发送的EAPOL M3消息中，如果vendor information字段长度大于32字节时，将会在wlc_wpa_sup_eapol函数触发堆溢出漏洞。

CVE-2019-9502

AP向Station发送的EAPOL M3消息中，如果vendor information 字段长度大于164字节时，将会在wlc_wpa_plumb_gtk函数触发堆溢出漏洞。

尊龙抖圈 - 为du而生

图5 wlc_wpa_plumb_gtk函数问题示意

受影响产物

博通公司

博通公司没有提供受影响产物信息。

Synology公司

Synology公司的RT1900ac产物受影响。该漏洞在RT1900ac产物中默认不被触发，当产物可以由管理员配置启用某项配置时，才会受影响。因此，Synology公司认为RT1900ac中该漏洞有一定的局限性，只有在特定的情况下才气触发。

Apple公司

Apple公司的macOS Sierra 10.12.6、macOS High Sierra 10.13.6、 macOS Mojave 10.14.3产物受影响。

解决方案

Apple公司的brcmfmac驱动的漏洞已修复，用户可以更新相关的补丁，完成修复事情。
博通公司修复了Linux内核brcmfmac驱动中的CVE-2019-9503及CVE-2019-9500两个漏洞，用户可以更新相关的补丁，完成修复事情。
使用可信的WI-FI网络，特别是不要在公共场所连接不宁静的wifi热点。

参考链接

1.https://blog.quarkslab.com/reverse-engineering-broadcom-wireless-chipsets.html
2.https://kb.cert.org/vuls/id/166939/
3.https://support.apple.com/en-us/HT209600
4.https://www.synology.cn/zh-cn/security/advisory/Synology_SA_19_18
5.https://git.kernel.org/linus/a4176ec356c73a46c07c181c6d04039fafa34a9f
6.https://git.kernel.org/linus/1b5e2423164b3670e8bc9174e4762d297990deff

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究