آسیب‌پذیری در فریمور پرکاربرد تراشه وای فای

نقص امنیتی موجود در فریمور تراشه Marvell Avastar 88W8897 SoC که در تکنولوژی‌های بلوتوث، WiFi و NFC در دستگاه‌های PS4، تبلت و لپ‌تاپ‌های مایکروسافت سرفیس، دستگاه ایکس‌باکس وان، گوشی‌های هوشمند و کروم‌بوک سامسونگ و غیره... مورد استفاده قرار می‌گیرد، باعث شده است تا دسترسی به حافظه موقت دستگاه برای نفوذگران مقدور شود. فریمور مارول بر مبنای سیستم‌عامل ThreadX که یک سیستم‌عامل Real Time Operating System است، تهیه شده و توسعه این سیستم‌عامل توسط شرکت Express Logic صورت گرفته است. هنگامی که هزینه خرید لایسنس RTOS پرداخت شود، امکان دسترسی به کُد منبع این فریمور برای بررسی بیشتر امکان‌پذیر خواهد بود و این خود باعث کشف ایرادات و آسیب‌پذیری‌ها روی آن می‌شود. همچنین شرکت این سیستم‌عامل ادعا می‌کند که ThreadX بیش از ۶ میلیون‌بار در دستگاه‌های IoT مورد استفاده قرار گرفته و محبوب‌ترین نرم‌افزار مورد استفاده در ارتباط با تراشه‌های WiFi در دنیا است.

به‌طور معمول، راه‌اندازی یک تراشه WiFi و هماهنگی آن با راه‌انداز (Driver) مربوطه در هنگام شروع به کار دستگاه، توسط بارگزاری فریمور آن انجام می‌شود. سیستم بیسیم System On Chip مارول با برخی از راه‌اندازهای معروف لینوکسی که مستقیماً با هسته‌ی لینوکس در ارتباط هستند، همکاری دارد؛ مانند: mwifiex که سورس کُد آن در مخازن لینوکس رسمی موجود است، mlan و mlinux که سورس کُد آن‌ها در مخازن steamlink-sdk در دسترس است. هر دو مورد توانایی debug و خواندن و نوشتن داده‌ها در حافظه‌ی موقت ماژول WiFi را برای سیستم‌عامل فراهم می‌کنند.

یکی از آسیب‌پذیری‌های گزارش‌شده در فریمور، مربوط‌به سرریز بخشی از بلوک حافظه در زمانی‌ است که تراشه درحال جست‌وجو برای شبکه‌های WiFi است؛ فرایندی که هر ۵ دقیقه یک‌بار انجام خواهد شد، حتی اگر دستگاه قبلاً به یک شبکه‌ی WiFi متصل بوده باشد که در این حالت دانستن نام یا پسورد شبکه‌های WiFi بی‌اهمیت است. دنیس سلیانین، محقق شرکت Embedi که در زمینه امنیت دستگاه‌های IoT فعالیت دارد؛ می‌گوید که این خود باعث جالب بودن این آسیب‌پذیری می‌شود؛ چراکه حتی قبل از اتصال به یک شبکه WiFi و در مرحله‌ی Scanning امکان سوءاستفاده از این آسیب‌پذیری مقدور است. به همین دلیل امکان اجرای کُد مخرب از راه دور یا همان Remote Code Execution روی Chromebook سامسونگ وجود خواهد داشت.

در این گزارش می‌بینیم که سلیانین دو روش اکسپلویت شدن این آسیب‌پذیری را شرح می‌دهد که یکی از آن‌ها در شرایط خاصی روی هر فریمور بر پایه‌ی ThreadX انجام می‌گیرد و دیگری روی فریمور مارول قابل انجام است که می‌توان در حالت کلی اعلام کرد که ترکیب این دو روش، بهره‌برداری قابل اطمینانی از این آسیب‌پذیری را منجر خواهد شد. می‌توان در حالت کلی اعلام کرد که مهاجم توانایی کنترل اشاره‌گر به آدرس حافظه را خواهد داشت و با تغییر این مقدار به یک بلاک آزاد در حافظه، امکان تغییر روند اجرایی دلخواه فریمور را دارد. سلیانین در ادامه می‌گوید که با کنترل مکان تخصیص آدرس بلوک بعدی در حافظه، مهاجم می‌تواند به محل دلخواهی در حافظه اشاره کند که امکان اجرای کُدهای مخرب برای او فراهم شود.

اکسپلویت کردن آسیب‌پذیری در Avastar SoC مارول شامل انجام عملیات مهندسی معکوس بر مقادیر داده در بلوک حافظه مورد نظر نیز می‌شود که برای بلاک‌های اشغال‌شده‌ی بعدی هم امکان‌پذیر خواهد بود. توابع استفاده‌شده در ابتدای بلاک حافظه ThreadX هر کدام یک هدر metadata همراه‌با اشاره‌گر خاصی را قبل از آزادسازی بلاک حافظه فراخوانی می‌کنند. این اطلاعات برای اجرای کُدهای مخرب در SoC وایرلس کافی است.

سلیانین از یک ابزار سفارشی برای dump کامل فریمور تراشه WiFi استفاده کرده که از سخت‌افزار دستگاه‌های Valve Steam Link است و برای چک کردن امکان انجام عملیات اکسپلویت از ابزار فازینگ afl-unicorn استفاده کرده است. محقق امکان اجرای کُد روی پردازنده دستگاه Valve توسط اکسپلویت کردن آسیب‌پذیری روی درایور پردازنده را داشته است که این کار توسط کمک گرفتن از حق دسترسی به‌دست‌آمده از آسیب‌پذیری دوم ممکن می‌شود. سلیانین توضیح می‌دهد که تنها تفاوت موجود این است که نفوذگر، داده‌ها را از یک SoC وایرلس کنترل‌شده توسط پُل SDIO ارسال می‌کند، نه توسط ارتباطات شبکه‌ای. به خاطر وجود درایور به‌عنوان یک پُل ارتباطی بین دستگاه و سیستم‌عامل، داده‌ها از دستگاه گرفته می‌شود، تحلیل شده و برای سیستم‌عامل ارسال می‌شود.

آسیب‌پذیری دیگری که محققان کشف کرده‌اند، از نوع سرریزبافر Stack Base بوده که امکان اکسپلویت کردن آن راحت‌تر است؛ چراکه براساس توضیحات سلیانین، مارول از هسته لینوکس 3.8.13-mrvl استفاده می‌کند که برای مقابله با سوء استفاده توسط روش‌های اکسپلویت باینری مقاوم‌سازی نشده است. نفوذگر برای اکسپلویت کردن آسیب‌پذیری تنها دو کار انجام می‌دهد، اول تابع v7_flush_kern_cache_louis را از هسته لینوکس فراخوانی می‌کند و بعد shellcode مورد نظر خود را اجرا می‌کند! در ویدئو زیر روند اکسپلویت شدن Marvell Avastar WiFi روی Valve SteamLink را مشاهده می‌کنیم که استفاده از این آسیب‌پذیری بدون هیچ‌گونه تعاملی با کاربر بوده و به‌صورت خودکار در شرایط over-the-air صورت می‌گیرد. سلیانین انگیزه‌ی خود را از انتشار این آسیب‌پذیری‌ها این‌گونه اعلام کرده است که دستگاه هایی که از این تراشه‌ها برای ارتباطات بی‌سیم استفاده می‌کنند، توسط جامعه امنیت سایبری به اندازه کافی مورد بررسی قرار نگرفته‌اند و باید بررسی‌های عمیق‌تری روی این‌گونه دستگاه‌ها توسط محققین انجام بگیرد.