Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Уязвимость в прошивках на базе ThreadX, позволяющая атаковать различные устройства через WiFi

30.03.2020 6:09


23.01.2019 07:38
Occul
 
Исследователи безопасности из компании Embedi раскрыли информацию об уязвимостях в платформе ThreadX RTOS, активно применяемой для обеспечения работы прошивок различных специализированных одночиповых систем, в том числе чипов для организации беспроводных коммуникаций. Прошивки на базе ThreadX используются в более чем 6 миллиардах различных промышленных и потребительских устройств. На примере беспроводного чипсета Marvell Avastar 88w8897 продемонстрирована возможность совершения реальной удалённой атаки, позволяющей выполнить код с привилегиями ядра операционной системы через отправку специально оформленного WiFi-пакета.

Эксплуатация уязвимости в RTOS-окружении ThreadX позволяет получить контроль над программным окружением, в котором выполняется прошивка (современные WiFi чипы реализуются на базе архитектуры FullMAC, подразумевающей наличие специализированного процессора, на котором выполнятся отдельная операционная система с реализаций своего беспроводного стека). Данное окружение выполняется в контексте беспроводного чипа и не имеет доступа к системной памяти (подключено через шину SDIO), поэтому для выполнения атаки на основную систему применяется ещё одна уязвимость в проприетарном модуле ядра для чипов Marvell Avastar, отвечающем за взаимодействие окружения прошивки и основной ОС. Эксплуатация уязвимости в драйвере осуществляется через отправку со стороны Wi-Fi SoC некорректно оформленных команд чрез шину SDIO, вызывающих переполнение стека.

Выявлено несколько путей совершения атаки, но наиболее простым является атака во время операции сканирования сети, которая автоматически запускается беспроводным чипом раз в пять минут. Уязвимость позволяет добиться контролируемого переполнения буфера в окружении на базе ThreadX при обработке специально оформленного пакета , полученного во время сканирования сети. В случае удачного стечения обстоятельств атакующий может переписать указатель, используемый для перехода при выполнении дальнейших операций. Атака не требует выполнения от пользователя каких-либо действий - достаточно наличия активного Wi-Fi у жертвы и нахождение в пределах досягаемости от беспроводной точки доступа атакующего.

Вероятность успешного проведения атаки оценивается в 50-60% для каждой попытки и зависит от стадии сканирования, на которой выполнена обработка пакета атакующего. Чип Marvell Avastar достаточно широко распространён и применяется для обеспечения работы Bluetooth и WiFi во многих смартфонах, планшетах, ноутбуках, медиацентрах, домашних маршрутизаторах, игровых контроллерах и автомобильных информационно-развлекательных системах, в том числе в таких устройствах, как Samsung Chromebook, Microsoft Surface, Sony PS4 и Valve Steamlink. Техника эксплуатации не специфична для чипов Marvell и может быть адаптирована для атаки на любые другие чипы, в прошивках которых используется RTOS ThreadX. Пример успешной атаки продемонстрирован для удалённого получения контроля за телеприставкой Valve Steamlink, основное программное окружение которой построено на основе Dеbian и ядра Linux 3.8.13.


Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.