The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в прошивках Marvell Avastar, позволяющая атаковать различные устройства через WiFi

19.01.2019 10:29

Исследователи безопасности из компании Embedi раскрыли информацию об уязвимостях в платформе ThreadX RTOS (уязвимости оказались специфичными для чипов Marvell, см. дополнение), активно применяемой для обеспечения работы прошивок различных специализированных одночиповых систем, в том числе чипов для организации беспроводных коммуникаций. Прошивки на базе ThreadX используются в более чем 6 миллиардах различных промышленных и потребительских устройств. На примере беспроводного чипсета Marvell Avastar 88w8897 продемонстрирована возможность совершения реальной удалённой атаки, позволяющей выполнить код с привилегиями ядра операционной системы через отправку специально оформленного WiFi-пакета.

Эксплуатация уязвимости в RTOS-окружении ThreadX позволяет получить контроль над программным окружением, в котором выполняется прошивка (современные WiFi чипы реализуются на базе архитектуры FullMAC, подразумевающей наличие специализированного процессора, на котором выполнятся отдельная операционная система с реализаций своего беспроводного стека). Данное окружение выполняется в контексте беспроводного чипа и не имеет доступа к системной памяти (подключено через шину SDIO), поэтому для выполнения атаки на основную систему применяется ещё одна уязвимость в проприетарном модуле ядра для чипов Marvell Avastar, отвечающем за взаимодействие окружения прошивки и основной ОС. Эксплуатация уязвимости в драйвере осуществляется через отправку со стороны Wi-Fi SoC некорректно оформленных команд чрез шину SDIO, вызывающих переполнение стека.

Выявлено несколько путей совершения атаки, но наиболее простым является атака во время операции сканирования сети, которая автоматически запускается беспроводным чипом раз в пять минут. Уязвимость позволяет добиться контролируемого переполнения буфера в окружении на базе ThreadX при обработке специально оформленного пакета , полученного во время сканирования сети. В случае удачного стечения обстоятельств атакующий может переписать указатель, используемый для перехода при выполнении дальнейших операций. Атака не требует выполнения от пользователя каких-либо действий - достаточно наличия активного Wi-Fi у жертвы и нахождение в пределах досягаемости от беспроводной точки доступа атакующего.

Вероятность успешного проведения атаки оценивается в 50-60% для каждой попытки и зависит от стадии сканирования, на которой выполнена обработка пакета атакующего. Чип Marvell Avastar достаточно широко распространён и применяется для обеспечения работы Bluetooth и WiFi во многих смартфонах, планшетах, ноутбуках, медиацентрах, домашних маршрутизаторах, игровых контроллерах и автомобильных информационно-развлекательных системах, в том числе в таких устройствах, как Samsung Chromebook, Microsoft Surface, Sony PS4 и Valve Steamlink. Техника эксплуатации не специфична для чипов Marvell и может быть адаптирована для атаки на любые другие чипы, в прошивках которых используется RTOS ThreadX. Пример успешной атаки продемонстрирован для удалённого получения контроля за телеприставкой Valve Steamlink, основное программное окружение которой построено на основе Dеbian и ядра Linux 3.8.13.

Дополнение: Проблема оказалась специфичной для WiFi-чипов Marvell Avastar. Уязвимость была вызвана изменениями, присутствующими только в прошивках Marvell, и не связана с проблемами в RTOS ThreadX. Для устранения уязвимости компания Marvell выпустила обновление прошивок и драйверов.

  1. Главная ссылка к новости (https://embedi.org/blog/remote...)
  2. OpenNews: Новая техника атаки на беспроводные сети с WPA2
  3. OpenNews: Техника восстановления ключей шифрования через анализ шумов в сигнале от беспроводных чипов
  4. OpenNews: В Android устранена уязвимость, эксплуатируемая через беспроводную сеть
  5. OpenNews: Удалённо эксплуатируемая уязвимость в WiFi-чипах Broadcom
  6. OpenNews: Устранение уязвимости в WiFi-чипах Broadcom
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49985-wifi
Ключевые слова: wifi, threadx, rtos, marvell, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:50, 19/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    вот он закрытый код. блобы с уродливым кодом генерят мартышки прыгая попами по клавиатурам, а потом
    "вероятность успешного проведения атаки оценивается в 50-60%"
     
     
  • 2.2, Вертеровец (?), 11:18, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ну так у любой атаки такая вероятность: или пройдет или нет. 50%
     
     
  • 3.3, Аноним (3), 11:35, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Нет! Только открытый код позволяет избежать атак! Ведь каждый может его прочитать! Там никогда не бывает косяков! Свободный открытый код всегда исправен и актуален! Открытость, свобода, Emacs!
     
     
  • 4.5, Аноним (5), 12:02, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "какова вероятность встретить динозавра на улице анекдот"
     
     
  • 5.35, Анонимчжан (?), 00:37, 20/01/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    если быть точным то велика, потому как птицы ими и являются))) ну об этом знают только те кто читает научную литературу и иногда слушает лекции, хотя бы на том же ютубе.)) но это так ремарка.)) а если серьезно, то мало кто реально заморачивается чтением всех исходников программ , что есть в системе. по минимальным прикидкам там более 2000 прог только в стандартной поставке дистрибутива. и да открытый софт не спасает от дураков их написавших)) ровно как и закрытый. есть только большая вероятность обнаружения этих дыр в открытом. а очень часто цепляются за эксплуатацию дыр в самом железе, что приводит к ошибкам в коде.
     
     
  • 6.37, h31 (ok), 02:46, 20/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > если быть точным то велика, потому как птицы ими и являются))) ну об этом знают только те кто читает научную литературу и иногда слушает лекции, хотя бы на том же ютубе.))

    Динозавры - это рептилии, а птицы - это отдельный класс (птицы).

     
     
  • 7.39, аноним3 (?), 12:33, 20/01/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> если быть точным то велика, потому как птицы ими и являются))) ну об этом знают только те кто читает научную литературу и иногда слушает лекции, хотя бы на том же ютубе.))
    > Динозавры - это рептилии, а птицы - это отдельный класс (птицы).

    Вот об этом я и писал. Посмотри на ютубе о последних научных исследований. Птицы прямые потомки динозавров. Если люди не имеют знаний то не стоит комментировать. Твои данные устарели.

     
     
  • 8.51, Аноним (51), 09:42, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ты тоже прямой потомок кистеперой рыбы, но если тебя засунуть в аквариум - скоре... текст свёрнут, показать
     
     
  • 9.57, Анонимчжан (?), 01:39, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    если быть точным он вообще не относится к динозаврам крокодил особый подотряд... текст свёрнут, показать
     
  • 7.54, fi (ok), 15:42, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, как тут заметили - будьте в курсе последних исследований)))

    С современной точки зрения птицы потомки вымерших динозавры (тех которые были теплокровные), а сегодняшние рептилии их боковая ветвь. ))))

     
  • 6.38, an onim (?), 04:18, 20/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Будто дело в том, чтоб каждый юзер читал код, ахах
     
  • 4.8, пох (?), 12:40, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    тысячигласс забыли!
     
     
  • 5.17, ghghf (?), 16:03, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    тысячи глаз в прошивки марвел =))
     
  • 2.4, КО (?), 12:02, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не вероятность успешного проведения атаки, а вероятность успешной попытки.
    Попытка может быть проведена каждые 5 минут.
     
     
  • 3.20, mickvav (?), 17:06, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То есть за час система вскрывается с вероятностью 99.95% примерно. Гуд.
     
  • 2.6, Jvc1 (?), 12:20, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Я лишь недавно начал понимать, что ныне дело не столько в руках и желании разработчиков, сколько в зависимости KPI коммерсантов и маркетологов от скорости получения результатов...
    Каким не будь профи и понимающим как сделать грамотно - не дадут, даже понимать не хотят.
     
     
  • 3.7, Аноним (7), 12:30, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Но ты же сам выбираешь работодателя и всегда можешь стать ему конкурентом
     
     
  • 4.9, пох (?), 12:44, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Но ты же сам выбираешь работодателя и всегда можешь стать ему конкурентом

    угу, у тебя же, конечно же, есть бабушкина персиковая ферма, под залог которой ты можешь кредитнуться на три ляма, чтоб было с чего начинать? Или хотя бы мама в ibm?

    Если нет - у меня для тебя плохие новости. Время гаражных стартапов давным-давно прошло.

    все что может отдельно-взятый васян - и то если ему очень повезет, не говоря уже о наличии навыков и работоспособности - выгодно продать результат своего тяжелого труда конкурентам. Но другие васяны тоже стоят в очереди с протянутой лапой, и у кого-то из них таки есть мама или папа с хорошими связями - так что выбрать могут и не тебя.

     
     
  • 5.21, Аноним (21), 17:27, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > > Но ты же сам выбираешь работодателя и всегда можешь стать ему конкурентом
    > угу, у тебя же, конечно же, есть бабушкина персиковая ферма

    Человек предлагает хоть какой-то выход: не работать никак, если не дают работать хорошо. Не лучший вариант, по очевидным причинам. Но ваш ответ - констатация безысходности. Я правильно понимаю, что вы не видите вариантов и предлагаете смириться?

     
     
  • 6.27, пох (?), 18:44, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Человек предлагает хоть какой-то выход

    (c) анекдот про филина - "я стратег", сами гуглите.

    > Я правильно понимаю, что вы не видите вариантов и предлагаете смириться?

    ну, "американская мечта" в виде мелкого, но собственного бизнеса - вполне вариант. Если ты, конечно, обладаешь задатками кида...простите, бизнесмена.
    То есть я знаю истории успеха, недавние. Но "не обманешь - не продашь".

    Если умеешь только ляпать код или, того хуже - настраивать линуксы - увы, увы.

     
  • 4.22, AnonPlus (?), 17:39, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Но если у тебя будет получаться без вот такого цирка, но дороже, то как ты будешь конкурировать с бывшим работодателем?

    Проблема в том, что большинству пользователей пофиг. Если им предложить, например, два одниаковых по производительности процессора, но один с Management Engine и дешевле, а другой без, но дорожен, то люди проголосуют рублём не за тебя. А выживать за счёт пары процентов покупателей, которые сознательно выберут твою продукцию, пусть она и дороже, трудно.

     
     
  • 5.40, Аноним (40), 13:48, 20/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пара процентов от покупателей процессоров Интел - это очень много, это хорошая ниша для компании. Но выпускать свои совместимые процессоры будет проблематично из-за патентов.
     
     
  • 6.52, нах (?), 09:51, 21/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    выпускать свои процессоры, даже напрочь несовместимые (что, в общем-то, нахрен не нужно в эпоху переносимого софта и qemu везде где не переносится, а интеловская архитектура ничего собой ценного не представляет) будет проблематично не из-за каких-то там патентов, а из-за миллиардных затрат на фабричку по их выпуску, и многомиллионных на разработку - а потом еще и добро пожаловать в прекрасный мир чипсетов и плат, которые тоже с неба не упадут.

    это могли сделать китайцы, это может ibm, это в общем и целом как-то сумели даже дедушки из МЦСТ (впрочем, подозреваю, они довольно много сперли, не разбираясь, какие там патенты - все равно никого не пустят проверять), но у васяна, даже шесть лет учившегося именно разработке процессоров - ничерта не выйдет.

    и чтобы была аж целая пара процентов - оно должно стоить не в сто раз дороже чем интел, а хотя бы не больше чем втрое. Опять же - совершенно нереально для васяна, на грани реальности для ibm (но ей и не интересно) и прочих. У китайца да, все получилось, но он свои бабки отбил телефонами и умными телевизорами.

     
  • 4.60, Аноним (60), 19:32, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Но ты же сам выбираешь работодателя и всегда можешь стать ему конкурентом

    Ты сам выбираешь железку в 10 раз дешевле, а потом удивляешься, почему там дырявая прошивка, и куда слился конкурент, выпускавший дорогие железки.

     
     
  • 5.61, Аноним (61), 16:28, 27/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    удивление мое законно.
    я выбирал дорогую желзку с недырявой прошивкой, а когда пришло время апгрейдится новых дорогих железок почему то нет.
     

  • 1.10, Аноним (10), 12:47, 19/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отлично. ΝexMon теперь и для этих чипов будет.
     
  • 1.25, ЧЕ (?), 18:24, 19/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну получишь ты доступ на телевизор рутовый - и шо?
    А смартфоны раз в два года обновляются. В общем по мне - новость хорошая, теперь можно получить рута на плойке и поставить туда кучу игр бесплатных. Хороший день.
     
     
  • 2.30, Пыщь (?), 21:29, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да, про ПэЖэ писать плохо можно будет и наркоту торговать, и всё через твою плойку удалённо поломанную, пока ты игоры играешь, другие будут тже хакать её. А что ты не верблюд сам доказывать будешь. Хорошая новость.
     
  • 2.31, Xasd (ok), 23:02, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > на плойке и поставить туда кучу игр бесплатных

    тем кому нужны "бесплатные" игры -- покупают ПК и ставят торрент-клиент.

    PS хороша какраз тем что можно заплатить и не получить ни каких проблем.

     
     
  • 3.34, Аноним (34), 23:53, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Увы, это далеко не всегда так работает. Тебя обманули.
     
  • 2.33, Канделябры (?), 23:17, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что за плойка? PS4? С какого перепугу вы там рута получили и тучу игр бесплатных (где их взять?) понаставили?
     
     
  • 3.42, Игорь (??), 16:29, 20/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так PS4 уже давно поломана (до определенной прошивки). Игры (зашифрованные нулевым ключом) тоже можно скачать в сети. И все это через дыру в Web-руководстве пользователя.
     
  • 2.43, Аноним (43), 16:45, 20/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну получишь ты доступ на телевизор рутовый - и шо?

    А телевизоры со встроенными камерами бывают ;)

     
  • 2.50, Vitaliy Blats (?), 21:14, 20/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ну получишь ты доступ на телевизор рутовый - и шо?

    И запущу оттуда ping -l 666 glavniy_bank_rossii.ru или че похуже.
    Миллион телевизоров с рутовым доступом положат какой-нить банк.
    Ты не сможешь заплатить коммуналочку в последний разрешенный день.
    Завтра тебе приедут отключать газ за неуплату.

    > Ну получишь ты доступ на телевизор рутовый - и шо?

    Ничо, все путем. Главное не забудь сказать на какой зоне сидишь за хранение у себя дома детского порно, будем всем опеннетом донатить тебе на сухарики, хе-хе-хе......

    - - -

    Главное чтобы ты уловил СУТЬ нежелательности массового взлома потребительских устройств, а не с пеной у рта доказывал мне что длина пакета в 666 байт не сработает, или на зоне донатить некуда, а то фанатики, они такие :))

     
     
  • 3.58, InuYasha (?), 14:53, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    у меня давно уже хороший пример есть для всех восхвалятелей простых паролей: злобный тролль запустит с твоего умного телевизора/тостера/телефона/браслета/вибратора wget allahuakbar.com/join-isis/ - и иди потом, доказывай. :-/

    А тут вообще пароля не надо. ;) Теперь будет повод застваить соседей вырубить свои генераторы раковых опухолей.

     
  • 3.62, Аноним (61), 16:32, 27/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > сидишь за хранение у себя дома детского порно,

    хранить можно.
    распространять нельзя.

     

  • 1.53, MrClon (ok), 12:36, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    /me проверил заземление клетки Фарадея, поправил шапочку
     
  • 1.55, develop7 (ok), 16:07, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    И опять переполнение буфера. Продолжайте, продолжайте писать на сищечке.

    Obligatory https://youtu.be/tas0O586t80

     
  • 1.56, Ваныч (?), 19:47, 21/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну вот как теперь жить? Производители смартфонов крайнее медленно обновляют Vendor библиотеки. А чтобы по этой цепочке до них еще дошли обновления производителя SoC, вообще сложно представить. И ведь там в каждом втором чипе  ThreadX. Ну вот как теперь жить?
     
     
  • 2.59, InuYasha (?), 14:56, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. Вот вопрос теперь - как это патчить? В новом релизе андроида будут новые блобы? Хватит ли этого? Или разработчики микрух на ПроприетарОС милостиво выпустят какой-нибудь егзешный патч-прошиватор хотя бы для ноутов?
     

  • 1.63, Аноним (63), 19:50, 28/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Утверждение насчет ThreadX оказалось ошибочным Проблема, как выяснилось, не име... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру