{"id":217177,"date":"2019-04-18T10:38:43","date_gmt":"2019-04-18T08:38:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=217177"},"modified":"2023-07-06T15:08:03","modified_gmt":"2023-07-06T13:08:03","slug":"sicherheitslcke-in-broadcom-wifi-treiber-gefhrdet-millionen-gerte","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/04\/18\/sicherheitslcke-in-broadcom-wifi-treiber-gefhrdet-millionen-gerte\/","title":{"rendered":"Sicherheitsl&uuml;cke in Broadcom WiFi-Treiber gef&auml;hrdet Millionen Ger&auml;te"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2019\/04\/18\/vulnerability-in-broadcoms-wifi-drivers-million-devices-at-risk\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Eine gravierende Sicherheitsl\u00fccke in Broadcoms WiFi-Treibern erm\u00f6glicht eine Remote Code Execution und gef\u00e4hrdet Millionen Computer, Smartphones, Tablets und IoT-Ger\u00e4te. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg02.met.vgwort.de\/na\/cb63059e488a48a5a63c79debbf534d1\" width=\"1\" height=\"1\"\/>Die Broadcom-WiFi-Chipsatztreiber enthalten wohl gravierende Schwachstellen, die sich auf mehrere Betriebssysteme auswirken. Die Sicherheitsl\u00fccken erm\u00f6glichen es potenziellen Angreifern, beliebigen Code aus der Ferne auszuf\u00fchren (Remote Code Execution) und Denial-of-Service auszulosen. Inzwischen gibt es eine <a href=\"https:\/\/web.archive.org\/web\/20190621030536\/https:\/\/www.us-cert.gov\/ncas\/current-activity\/2019\/04\/17\/Multiple-Vulnerabilities-Broadcom-WiFi-Chipset-Drivers\" target=\"_blank\" rel=\"noopener noreferrer\">DHS\/CISA-Warnung<\/a> und eine <a href=\"https:\/\/www.kb.cert.org\/vuls\/id\/166939\/\" target=\"_blank\" rel=\"noopener noreferrer\">Schwachstellenbeschreibung<\/a> CERT\/CC. <\/p>\n<h2>Die Beschreibung der Schwachstellen<\/h2>\n<p>Das CERT\/CC schreibt in seiner <a href=\"https:\/\/www.kb.cert.org\/vuls\/id\/166939\/\" target=\"_blank\" rel=\"noopener noreferrer\">Vulnerability Note VU#166939<\/a> vom 17. April 2019 folgendes: <\/p>\n<blockquote>\n<p>The Broadcom <tt>wl<\/tt> driver and the open-source <tt>brcmfmac<\/tt> driver for Broadcom WiFi chipsets contain multiple vulnerabilities. The Broadcom <tt>wl<\/tt> driver is vulnerable to two heap buffer overflows, and the open-source <tt>brcmfmac<\/tt> driver is vulnerable to a frame validation bypass and a heap buffer overflow.<\/p>\n<\/blockquote>\n<p>Es gibt wohl Puffer\u00fcberl\u00e4ufe in den Open Source-Treibern von Boradcom. Dem brcmfmac-Treiber sind die nachfolgenden CVEs zugeordnet worden:<\/p>\n<ul>\n<li><strong>CVE-2019-9503:<\/strong> If the brcmfmac driver receives a firmware event frame from a remote source, the <tt>is_wlc_event_frame<\/tt> function will cause this frame to be discarded and not be processed. If the driver receives the firmware event frame from the host, the appropriate handler is called. This frame validation can be bypassed if the bus used is USB (for instance by a wifi dongle.). This can allow firmware event frames from a remote source to be processed.  <\/li>\n<li><strong>CVE-2019-9500: <\/strong>If the Wake-up on Wireless LAN functionality is configured, a malicious event frame can be constructed to trigger an heap buffer overflow in the brcmf_wowl_nd_results function. This vulnerability can be exploited by compromised chipsets to compromise the host, or when used in combination with the above frame validation bypass, can be used remotely.<\/li>\n<\/ul>\n<p>Der <em>brcmfmac<\/em>-Treiber arbeitet aber nur mit Broadcom FullMAC-Chipsets. Allerdings gibt es auch Sicherheitsl\u00fccken im Broadcom wl-Treiber, denen folgende CVEs zugeordnet wurden. <\/p>\n<ul>\n<li><strong>CVE-2019-9501:<\/strong> By supplying a vendor information element with a data length larger than 32 bytes, a heap buffer overflow is triggered in <em>wlc_wpa_sup_eapol<\/em><tt>.<\/tt> <\/li>\n<li><strong>CVE-2019-9502: <\/strong>If the vendor information element data length is larger than 164 bytes, a heap buffer overflow is triggered in <em>wlc_wpa_plumb_gtk<\/em><tt>.<\/tt><\/li>\n<\/ul>\n<p>Anmerkung: Wenn der wl-Treiber mit SoftMAC-Chips\u00e4tzen verwendet wird, werden diese Schwachstellen im Kernel des Hosts ausgel\u00f6st. Wenn ein FullMAC-Chipsatz verwendet wird, werden diese Schwachstellen in der Firmware des Chipsatzes ausgel\u00f6st.<\/p>\n<p>Im schlimmsten Fall ist ein entfernter, nicht authentifizierter Angreifer durch das Senden von speziell entwickelten WiFi-Paketen in der Lage, beliebigen Code auf einem anf\u00e4lligen System auszuf\u00fchren. Typischerweise f\u00fchren diese Schwachstellen zu Denial-of-Service-Angriffen. Inzwischen hat Broadcom aber aktualisierte Treiber bereitgestellt. <\/p>\n<h2>Praktikant findet f\u00fcnf Sicherheitsl\u00fccken<\/h2>\n<p>Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/broadcom-wifi-driver-flaws-expose-computers-phones-iot-to-rce-attacks\/\" target=\"_blank\" rel=\"noopener noreferrer\">berichtet hier<\/a>, dass Quarkslabs Praktikant Hugues Anguelkov f\u00fcnf Schwachstellen im \"Broadcom wl-Treiber und im Open-Source brcmfmac-Treiber f\u00fcr Broadcom WiFi-Chips\u00e4tze\" gefunden habe. Hugues untersuchte die Broadcom WiFi-Chips-Firmware mittels Fuzzy-Techniken auf Schwachstellen. <\/p>\n<p>Diese Chips findet man fast \u00fcberall in Ger\u00e4ten, von Smartphones \u00fcber Laptops, SmartTVs bis hin zu IoT-Ger\u00e4ten. Die meisten Nutzer solcher Ger\u00e4te verwenden wahrscheinlich einen solchen Treiber, ohne es zu wissen. Wer z.B. einen Dell-Laptop habt, kann eine bcm43224 oder eine bcm4352-Karte verwenden. Es ist auch wahrscheinlich, dass Nutzer einen Broadcom WiFi-Chip verwenden, wenn Sie ein iPhone, ein Mac-Book, ein Samsumg-oder ein Huawei-Smartphone usw. haben. Da diese Chips so weit verbreitet sind, stellen sie ein wertvolles Ziel f\u00fcr Angreifer dar, und jede gefundene Schwachstelle sollte daher als ein hohes Risiko angesehen werden. <\/p>\n<p>Eine Liste aller 166 Anbieter, die potenziell gef\u00e4hrdete Broadcom-WiFi-Chips\u00e4tze in ihren Ger\u00e4ten verwenden, finden Sie am Ende der <a href=\"https:\/\/www.kb.cert.org\/vuls\/id\/166939\/\" target=\"_blank\" rel=\"noopener noreferrer\">CERT\/CC vulnerability note<\/a>. In diesem <a href=\"https:\/\/blog.quarkslab.com\/reverse-engineering-broadcom-wireless-chipsets.html#disclosure-timeline\" target=\"_blank\" rel=\"noopener noreferrer\">Blog-Beitrag<\/a> von Hugues Anguelkov findet sich die Timeline f\u00fcr die Offenlegung.&nbsp; Broadcom hat die beiden Schwachstellen, die im Open Source brcmfmac Linux-Kernel Wireless-Treiber f\u00fcr FullMAC-Karten entdeckt wurden, am 14. Februar 2019 gepatcht.<\/p>\n<p>Apple hat auch die Schwachstelle CVE-2019-8564 als Teil eines Sicherheitsupdates f\u00fcr macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.3 gepatcht und am 15. April, einen Tag bevor der Forscher die Schwachstellen bekannt gab, eine Beschreibung des Problems in das Patch-Changelog aufgenommen.<\/p>\n<p>Bleibt die Frage, ob und wann die restlichen Hersteller der Ger\u00e4te entsprechende Firmware- und Treiberaktualisierungen bereitstellen. Weitere Details lassen sich <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/broadcom-wifi-driver-flaws-expose-computers-phones-iot-to-rce-attacks\/\" target=\"_blank\" rel=\"noopener noreferrer\">bei Bleeping-Computer<\/a>, im <a href=\"https:\/\/blog.quarkslab.com\/reverse-engineering-broadcom-wireless-chipsets.html#disclosure-timeline\" target=\"_blank\" rel=\"noopener noreferrer\">Beitrag<\/a> von Hugues Anguelkov und in der <a href=\"https:\/\/www.kb.cert.org\/vuls\/id\/166939\/\" target=\"_blank\" rel=\"noopener noreferrer\">CERT\/CC vulnerability note<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Eine gravierende Sicherheitsl\u00fccke in Broadcoms WiFi-Treibern erm\u00f6glicht eine Remote Code Execution und gef\u00e4hrdet Millionen Computer, Smartphones, Tablets und IoT-Ger\u00e4te.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[4328,115],"class_list":["post-217177","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-sicherheit","tag-treiber"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217177","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=217177"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217177\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=217177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=217177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=217177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}