Onderzoeker ontdekt zeroclick-rce-lek in veelgebruikte firmware voor wifichips

Een securityonderzoeker heeft een rce-kwetsbaarheid gevonden in de ThreadX-firmware, die volgens de ontwikkelaar in meer dan zes miljard apparaten gebruikt wordt, inclusief de wifichips van de Surface, Galaxy J1, Steam Link, PS4 en Xbox One. Een fix is onderweg.

Omdat de fix nog niet gepubliceerd is, geeft onderzoeker Denis Selianin de exploitcode zelf niet weg in zijn verslag. Wel heeft hij een proof of concept uitgebracht voor de Steam Link. Het gaat in totaal om vier kwetsbaarheden, waarvan de grootste uitgebreid behandeld wordt. Apparaten die het besturingssysteem in kwestie gebruiken, scannen om de vijf minuten de omgeving voor wifisignalen, of ze al verbonden zijn of niet. Dit biedt de gelegenheid om door middel van een vals wifisignaal een stack-based buffer overflow te bewerkstelligen.

In de proof of concept bestaat het uiteindelijke resultaat uit wat berichten in de kernellog, maar deze exploit maakt het mogelijk om zelfgeschreven code uit te voeren, wat verregaande mogelijkheden biedt. De exploit vergt geen actie van de gebruiker, behalve dat ze het apparaat moeten aanzetten. De aanvaller moet fysiek binnen het wifibereik van het doelwit zijn om de exploit uit te voeren.

De onderzoeker heeft zich gericht op de Marvell Avastar 88W8897-wifichip, omdat deze het besturingssysteem in kwestie gebruikt en in de bovengenoemde, populaire apparaten zit. ZDNet schrijft dat de maker van het besturingssysteem werkt aan een update om de kwetsbaarheden te verhelpen.

Reacties (49)

JeroenED 21 januari 2019 11:44

Voor de mensen die denken dat hun systeem kwetsbaar is kunnen dit checken adhv pci id 11ab:2b38

Gewoon checken of je dit device id bij je apparaatbeheer hebt staan. Ja => kwetsbaar

https://pcilookup.com/?ve...ab&dev=2b38&action=submit

[Reactie gewijzigd door JeroenED op 22 juli 2024 23:25]

RADRIGUZ @JeroenED • 22 januari 2019 13:46

Top reactie! De Microsoft Surface Pro 4 heeft hier inderdaad ook last van, zojuist gecontroleerd

Aetje @RADRIGUZ • 22 januari 2019 14:43

Ouch... die dingen zijn bij mijn bedrijf vol in gebruik. Doorgeseind aan IT security, thanks for the spot!

RADRIGUZ @Aetje • 22 januari 2019 14:45

Hier ook.. maar even in de gaten houden wat de oplossing wezen gaat. Vermoed dat dit wel via een Windows update te patchen zal zijn.

Aetje @RADRIGUZ • 22 januari 2019 14:50

Driver update vermoed ik.

RADRIGUZ @Aetje • 22 januari 2019 14:52

inderdaad, en Microsoft verspreid die normaliter door hun eigen update systeem, hoogstwaarschijnlijk gaat dit zonder dat we er ook maar iets van merken.

Geerbeer94 @JeroenED • 21 januari 2019 12:43

Als ik mijn wifi uit heb staan ben ik dan wel of niet vatbaar voor de exploit. Ik kan mijn apparaat niet vinden op die website.

Raymond Deen @Geerbeer94 • 21 januari 2019 13:00

Volgens mij kan je dan nog gewoon kwetsbaar zijn als je Android gebruikt.
Er is namelijk een instelling die ook bij uit staande wifi scant naar netwerken om de locatie beter/sneller te kunnen vinden.

Edit: Check je device op PCI id, zodal hierboven gezegd; dan weet je of je de marvell chip met slechte implementatie hebt.

[Reactie gewijzigd door Raymond Deen op 22 juli 2024 23:25]

Verwijderd @Geerbeer94 • 21 januari 2019 13:57

Alsnog kwetsbaar, staat in het verslag

This procedure is launched every 5 minutes regardless of a device being connected to some Wi-Fi network or not. That’s why this bug is so cool and provides an opportunity to exploit devices literally with zero-click interaction at any state of wireless connection

at any state, dus ook uit?

tweaknico @Verwijderd • 21 januari 2019 14:02

Nee als de WiFi chipset spanningsloos is dan werkt de aanval niet.
Als de interface niet gebruikt wordt, maar je wel een lijstje van beschikbare netwerken kan krijgen... Dan heb je de functie te pakken waar de aabval op ingrijpt.

[Reactie gewijzigd door tweaknico op 22 juli 2024 23:25]

Verwijderd @tweaknico • 21 januari 2019 14:03

Dus vliegtuigstand of alleen Wi-Fi verbindingen uit?

tweaknico @Verwijderd • 21 januari 2019 14:06

Vliegtuigstand zou veilig moeten zijn. Meestal is de chipset dan spanningsloos. (In iedergeval is de er geen koppeling tussen antenne en verdere functionaliteit..., omdat de chipset dan geen signaal mag veroorzaken).

MSalters @Verwijderd • 21 januari 2019 15:40

Dit gaat over de staat van de aanmelding bij een WiFi netwerk. Indien WiFi aanstaat, scant hij permanent de lokale WiFI netwerken, zodat je kunt kiezen uit de lijst van gedetecteerde netwerken. Het gaat dus al fout voordat je daaruit een netwerk kiest. Maar als WiFi uit staat en je niet scant voor beschikbare netwerken, dan negeer je dus ook zo'n malafide netwerk.

tweaknico @JeroenED • 21 januari 2019 14:04

Hm. mogelijk ook andere chipset die ThreadX platform gebruiken.
Alleen van deze is het bekend.

Sayko @JeroenED • 21 januari 2019 20:37

Pfesnse box (Lenovo laptop met expresscard gigabit LAN:
[code]sh: pci: not found[/code]

JeroenED @Sayko • 22 januari 2019 09:23

Met pci id bedoelde ik niet dat dit een commando is. Een pci id is een code om een specifiek apparaat op je pc aan te duiden.

Jammer genoeg hebben de software vendors allemaal andere manieren om dit op te zoeken. Op windows staat dit in apparaat beheer. Op linux is dit via lspci maar op embedded systemen weet ik dit niet

Sayko @JeroenED • 21 januari 2019 20:43

Galaxy s6:
zeroflte:/ $ pci id 11ab:2b38
/system/bin/sh: pci: not found
127|zeroflte:/ $

JeroenED @Sayko • 22 januari 2019 09:24

z1rconium 21 januari 2019 11:45

Wat is een zeroclick-rce ? Ik kon het in deze post en die blogpost niet vinden. (remote code execution oid?)
Maar goed, de persoon achter het onderzoek snapt wel waar hij/zij mee bezig is, erg gedetailleerd.

[Reactie gewijzigd door z1rconium op 22 juli 2024 23:25]

Kriskras99 @z1rconium • 21 januari 2019 11:49

Zeroclick-rce betekent dat je code kan uitvoeren op afstand zonder dat de gebruiker (het doelwit) iets moet doen. Dus je hebt geen fysieke toegang nodig tot het apparaat, je hoeft alleen in de buurt te zijn. Hoop dat dit helpt

The Zep Man

Networking en security

@Kriskras99 • 21 januari 2019 14:18

Zeroclick-rce betekent dat je code kan uitvoeren op afstand zonder dat de gebruiker (het doelwit) iets moet doen.

De gebruiker hoeft niet het doelwit te zijn. Een aanvaller is bijvoorbeeld alleen maar geïnteresseerd in het misbruiken van het systeem als cryptocurrency miner.

borft @z1rconium • 21 januari 2019 11:47

ik denk dat het remote code execution is

TheNephilim

@z1rconium • 21 januari 2019 11:53

Die 'zeroclick' geeft aan dat er geen gebruikers interactie voor nodig is.

Bozebeer38 21 januari 2019 11:55

Je moet dus dicht in de buurt zitten en erg kundig zijn om een vals signaal als een soort man in the middle attack in weten te zetten.

Niet onmogelijk hoor, maar 99,9% van iedereen met zo’n kwetsbaarheid hoeft er helemaal niet over in te zitten.

air2

@Bozebeer38 • 21 januari 2019 12:04

Als hier een programmatje voor ontwikkeld wordt dan kan iedere scriptkid dat op een treinstation voor elkaar krijgen en dan is het toch wel een probleem.
En met versterkers hoef je ook weer niet zo heel erg in de buurt te zitten.

[Reactie gewijzigd door air2 op 22 juli 2024 23:25]

JT @Bozebeer38 • 21 januari 2019 12:08

Iemand die echt kwaad wilt hoeft niet lang te zoeken voor een interessante locatie hoor. Neem bijvoorbeeld Seats2Meet, hier kun je gratis gaan zitten om te werken, inclusief wifi-verbinding. Samen met jou doen tientallen anderen dat op elke locatie. Voornamelijk ook zakelijke gebruikers dus interessante doelwitten. Alleen in Nederland zijn er daardoor al tientallen plekken te vinden die vrij en makkelijk toegankelijk zijn. Even een hoekje zoeken waar niet teveel mensen mee kunnen kijken en gaan met die handel.

En zo zijn er natuurlijk nog veel meer makkelijke plekken te vinden waar je makkelijk doelwitten kan vinden.

Morress @Bozebeer38 • 21 januari 2019 12:10

Blackmarket zal hier in no_time vast een aanbod in doen

Verwijderd @Bozebeer38 • 21 januari 2019 13:46

Erg kundig is nogal overdreven.

Ik zou er wel over in zitten, want als je ergens aan het werk ben, hotel, ov u name it, kan je overgenomen worden. Als je de socs escaleer kan je direct naar het hostgeheugen zonder expliciete toegang.

ajolla @Bozebeer38 • 21 januari 2019 16:25

Daar ben ik het niet mee eens. We weten inmiddels dat instellingen als NSA, CIA--en, nou vooruit, ook de Chinezen--er alles aan willen doen om ons, onschuldige burgers, altijd en overal af te kunnen luisteren.
Wat is er dan prettiger dan bij een chipfabrikant iemand te hebben zitten die voor jou een rce regelt.
We zijn dus misschien wel allemaal slachtoffer.

[Reactie gewijzigd door ajolla op 22 juli 2024 23:25]

ajolla @Bozebeer38 • 22 januari 2019 06:01

Ach, dan is het misschien een expired feature/bug.

[Reactie gewijzigd door ajolla op 22 juli 2024 23:25]

Verwijderd 21 januari 2019 11:37

zou je 'technisch gezien' hiermee een xbox of ps4 kunne soft-modden?
aangezien je eigen code kunt laten uitvoeren

Edit: ohja je zit alleen in de processor van de wifi chip i guess?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:25]

Verwijderd @Verwijderd • 21 januari 2019 11:39

Ik denk dat het ook te maken heeft met welke rechten en whatever je hebt op het apparaat zelf via deze truuk. De tijd zal het leren, of niet, want updates.

locke960 @Verwijderd • 21 januari 2019 12:25

Een van de slechte ontwerpkeuzes die je bij apparaten vaak ziet is dat de subprocessors voor technische subsystemen vaak toegang hebben tot alle resources van de hoofd processor, zoals het RAM en storage. Ook hebben firmwares voor dergelijke subsystemen meestal geen rechten systeem. Alles draait als root.

Bekend voorbeeld is de baseband processor van mobiele telefoons. Vroeger had die gewoon toegang tot alles in je mobiele telefoon. En de baseband processor werd beheerd door de provider. Een gapend gat dus. Of er nog steeds telefoons zijn die dat toelaten weet ik niet. Ik hoop van niet.

In een goed ontwerp moet je dus alles compartimentaliseren, maar dat is meestal iets duurder. (bijvoorbeeld: eigen RAM-chip voor een subprocessor kost meer dan een beetje geheugen lenen van het hoofdgeheugen).
Het is voor een consument natuurlijk niet te overzien of een apparaat veilig ontworpen is. Het is ook niet iets waarop testsites testen want daar heb je wel iets meer kennis voor nodig dan weten hoe je een benchmark start.

[Reactie gewijzigd door locke960 op 22 juli 2024 23:25]

Verwijderd @locke960 • 21 januari 2019 12:43

Ja, dat is waar ik uiteindelijk op doelde. Alleen met minder uitleg

MSalters @locke960 • 21 januari 2019 15:46

Je noemt nu alleen kosten als nadeel. Er zijn meer nadelen. Als je die co-processor eigen RAM geeft, dan kan je geen DMA (direct memory access) doen tussen de twee processoren. Dat kost je dus performance, en in mobiele toepassingen ook nog batterijduur.

Daarom zie je in moderne systemen juist een andere aanpak. De co-processoren mogen best bij het geheugen van de hoofdprocessor. Maar voor het crypto-gedeelte is er een speciale co-processor, en die heeft een klein eigen geheugen waar de hoofprocessor niet bij kan (secure enclave). Dat hoeft geen aparte RAM chip te kosten omdat het benodigde geheugen beperkt is en on-chip past.

darkfader @Verwijderd • 21 januari 2019 11:51

Je hebt sowieso nog een tweede hack nodig om bij de hoofdprocessor te komen. En volgens mij voor PS4 geldt dat alleen in niet-slim versies deze chip zit.

0vestel0 21 januari 2019 12:01

Is de firmware van deze chips te flashen of is dit fixed?

MSalters @0vestel0 • 21 januari 2019 15:48

Het zou wel grappig zijn als er iemand een patch maakt die je via deze Remote Code Execution mogelijkheid kunt uploaden. Dan is het een zichzelf dichtend lek

ajolla @MSalters • 21 januari 2019 16:28

Ja, leuk, en dan ook nog viraal.

Morress @0vestel0 • 21 januari 2019 12:11

Verwacht niet teveel van fabrikanten, zeker niet van non-pushed updates (dus consumer pull update)

Verwijderd 21 januari 2019 11:28

Ajjj, en dan zijn er straks 500k apparaten geupdate en de rest is gewoon exploitable.....

Room42 @Verwijderd • 21 januari 2019 11:36

Alleen al omdat het gros mogelijk al niet meer onderhouden wordt door de fabrikant.

Verwijderd @Room42 • 21 januari 2019 11:38

Dat is wel wat ik tussen de regels bedoelde.

Chuk 21 januari 2019 11:40

Deed me denken aan deze presentatie, maar het zou dus om een andere techniek gaan : https://2018.zeronights.r...Marvell-Avastar-Wi-Fi.pdf
Is alvast interessant leesvoer voor wie interesse heeft in onderzoek naar deze vorm van exploits.

epiceddy 21 januari 2019 12:23

Zou dit ook gebruikt kunnen worden om de PS4 en Xbox te jailbreaken, of zijn daar mogelijk extra beveiligingslagen geïmplementeerd?

Verwijderd @epiceddy • 21 januari 2019 13:48

Is hoogstwaarschijnlijk mogelijk ja, rechten is geen issue, je hebt toegang tot de host geheugen, dus hoogste system. Je zit alleen met DRM protection, in het verslag kon dit niet onderzocht worden.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:25]

R4gnax

Networking en security

@Verwijderd • 21 januari 2019 21:49

Is hoogstwaarschijnlijk mogelijk ja, rechten is geen issue, je hebt toegang tot de host geheugen, dus hoogste system. Je zit alleen met DRM protection, in het verslag kon dit niet onderzocht worden.

DRM protection zal weinig doen. Dat is al eerder gekraakt aangezien de PS4 op vroegere firmware al open gegooid is via andere gaten in de firmware. Dit is alleen weer het zoveelste gat. En mogelijk veel moeilijker te dichten.

Als Sony de firmware op de WiFi chipset zelf niet remote kan patchen, dan kan het zelfs als staging ground gaan dienen voor toekomstige aanvallen om te pogen nieuwe wegen te vinden om op de PS4 in te breken.

[Reactie gewijzigd door R4gnax op 22 juli 2024 23:25]

Verwijderd 21 januari 2019 13:53

de bug van ThreadX block pool overflow. Nogal heftig. ik was altijd in de veronderstelling dat in dit soort gevallen je Wi-Fi aan moet staan en een actie uitvoer om de verbinding op te pakken.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:25]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (49)

Sorteer op:

Weergave: