Exploit critique dans les chipsets Wi‑Fi de MediaTek : une vulnérabilité zero-click

 (blog.sonicwall.com)
1 points par GN⁺ 2024-09-22 | 1 commentaires | Partager sur WhatsApp

Vulnérabilité grave dans les chipsets Wi‑Fi de MediaTek : la faille zero-click (CVE-2024-20017) menace les routeurs et les smartphones

Aperçu
  • L’équipe de recherche sur les menaces de SonicWall Capture Labs a identifié la vulnérabilité CVE-2024-20017, évalué son impact et développé des mesures d’atténuation
  • CVE-2024-20017 est une vulnérabilité zero-click critique avec un score CVSS 3.0 de 9,8, qui affecte les chipsets Wi‑Fi MediaTek MT7622/MT7915 ainsi que les bundles de pilotes RTxxxx SoftAP
  • Les versions 7.4.0.1 et antérieures du SDK MediaTek, utilisées dans des produits de divers fabricants comme Ubiquiti, Xiaomi et Netgear, ainsi que OpenWrt 19.07 et 21.02, sont affectées
  • Cette vulnérabilité permet une exécution de code à distance sans interaction de l’utilisateur, et MediaTek a diffusé un correctif pour en limiter l’impact
  • La vulnérabilité a été divulguée et corrigée en mars, mais un PoC rendu public récemment augmente le risque d’exploitation
Aperçu technique
  • La vulnérabilité se trouve dans wappd, un démon réseau inclus dans le SDK MediaTek MT7622/MT7915 et les bundles de pilotes RTxxxx SoftAP
  • wappd sert à configurer et gérer les interfaces sans fil et les points d’accès, en particulier dans le cadre de la technologie Hotspot 2.0
  • L’architecture de wappd se compose du service réseau lui-même, d’un ensemble de services locaux interagissant avec les interfaces sans fil de l’appareil, et d’un canal de communication entre composants via des sockets de domaine Unix
  • La vulnérabilité est causée par un buffer overflow, lorsqu’une valeur de longueur directement extraite de données de paquet contrôlées par l’attaquant est utilisée pour une copie mémoire
Déclenchement de la vulnérabilité
  • La vulnérabilité se produit dans la fonction IAPP_RcvHandlerSSB, où une valeur de longueur contrôlée par l’attaquant est transmise à la macro IAPP_MEM_MOVE
  • Aucune vérification de limites n’est effectuée, hormis le contrôle que la longueur maximale du paquet ne dépasse pas 1 600 octets
  • L’attaquant doit envoyer un paquet en préfixant sa charge utile avec la structure attendue
  • La longueur de la structure RT_IAPP_HEADER doit être faible, et le champ RT_IAPP_HEADER.Command doit valoir 50
Exploitation
  • Le code d’exploit publié utilise une chaîne ROP pour obtenir une exécution de code à distance via une technique d’écrasement de la table globale des adresses
  • Il exploite un appel à system() pour exécuter une commande envoyant un reverse shell à l’attaquant
  • Le reverse shell est mis en place avec les outils Bash et Netcat
Protection SonicWall
  • Les signatures suivantes ont été déployées pour permettre aux clients SonicWall de se protéger contre l’exploitation de cette vulnérabilité
    • IPS: 20322 MediaTek MT7915 wlan Service OOB Write 1
    • IPS: 20323 MediaTek MT7915 wlan Service OOB Write 2
Recommandations d’atténuation
  • Comme le code d’exploit a été rendu public, il est fortement recommandé aux utilisateurs de mettre à niveau le firmware vers la dernière version disponible pour les chipsets concernés
Liens associés

Le récapitulatif de GN⁺

  • Cet article traite d’une vulnérabilité zero-click critique dans les chipsets Wi‑Fi de MediaTek, qui permet une exécution de code à distance sans interaction de l’utilisateur
  • L’équipe de recherche de SonicWall a identifié cette vulnérabilité et développé des mesures d’atténuation, tout en recommandant aux utilisateurs de passer au dernier firmware
  • La vulnérabilité affecte les routeurs et smartphones de divers fabricants, et le PoC récemment publié accroît le risque d’exploitation
  • Parmi les produits dotés de fonctionnalités similaires figurent les chipsets Wi‑Fi de Qualcomm, et il est important de vérifier régulièrement la disponibilité des mises à jour de sécurité

À lire aussi

1 commentaires

 
GN⁺ 2024-09-22
Avis Hacker News

  • Demande de remplacer le lien de l’OP par la source originale plutôt que par une publicité

  • Avis selon lequel le code source du pilote du SDK fournisseur de Mediatek est en mauvais état par rapport à mt76

    • Certains utilisateurs exécutent un firmware aftermarket utilisant le pilote fournisseur
    • La division WiSoC de Mediatek compte des ingénieurs qui échangent activement avec la communauté FOSS
    • Ils maintiennent un fork d’OpenWrt utilisant mt76
    • Lien connexe : Mediatek OpenWrt Feeds

  • Avis selon lequel le titre peut prêter à confusion

    • Une personne possède un routeur utilisant le Wi-Fi mt76 et craignait un bug du firmware ou du silicium, avant d’être rassurée en apprenant qu’il s’agit d’un problème du SDK fournisseur
    • Il est difficile de comprendre l’usage du SDK fournisseur alors que la prise en charge de mt76 est bonne dans le noyau principal et hostapd

  • Questions sur la convention de nommage de MediaTek

    • On suppose que les appareils utilisant la puce Wi-Fi mt6631 ne sont pas affectés, sans certitude

  • Bien qu’OpenWrt 19.07 et 21.02 soient dits affectés, les builds officiels n’utilisent que le pilote mt76

  • Un portable équipé d’un CPU AMD inclut une carte Wi-Fi MediaTek RZ616, en cours de remplacement par une carte Wi-Fi Intel

    • Après remplacement, le problème est l’accumulation de cartes RZ616

  • Quelqu’un possède un téléphone utilisant un chipset MediaTek et se souvient que le fournisseur est passé à un autre produit en raison de problèmes de qualité des produits MediaTek

    • Impossible de savoir comment le Wi-Fi du téléphone fonctionne
    • La personne utilise rarement le Wi-Fi, mais veut savoir si le téléphone est affecté

  • Les versions 7.4.0.1 et antérieures du SDK MediaTek, ainsi qu’OpenWrt 19.07 et 21.02, sont affectées

    • La vulnérabilité se trouve dans le démon réseau wappd inclus dans les bundles SDK MediaTek MT7622/MT7915 et le pilote SoftAP RTxxxx
    • OpenWrt ne semble pas utiliser wappd

  • Avis selon lequel il est impossible de comprendre pourquoi des fournisseurs de bas niveau ne publient pas leur firmware en open source