Exploit crítico em chipsets Wi‑Fi da MediaTek: vulnerabilidade zero-click

 (blog.sonicwall.com)
1 pontos por GN⁺ 2024-09-22 | 1 comentários | Compartilhar no WhatsApp

Vulnerabilidade grave em chipsets Wi‑Fi da MediaTek: vulnerabilidade zero-click (CVE-2024-20017) ameaça roteadores e smartphones

Visão geral
  • A equipe de pesquisa de ameaças SonicWall Capture Labs identificou a vulnerabilidade CVE-2024-20017, avaliou seu impacto e desenvolveu medidas de mitigação
  • A CVE-2024-20017 é uma vulnerabilidade zero-click crítica com pontuação CVSS 3.0 de 9,8, que afeta os chipsets Wi‑Fi MediaTek MT7622/MT7915 e os bundles de driver RTxxxx SoftAP
  • São afetadas a versão 7.4.0.1 e anteriores do SDK da MediaTek, usadas em produtos de diversos fabricantes como Ubiquiti, Xiaomi e Netgear, além do OpenWrt 19.07 e 21.02
  • A vulnerabilidade permite execução remota de código sem interação do usuário, e a MediaTek distribuiu patches para mitigá-la
  • A vulnerabilidade foi divulgada e corrigida em março, mas um PoC publicado recentemente aumenta a probabilidade de exploração
Visão técnica
  • A vulnerabilidade existe no wappd, um daemon de rede incluído no SDK MediaTek MT7622/MT7915 e nos bundles de driver RTxxxx SoftAP
  • O wappd é responsável por configurar e gerenciar interfaces sem fio e pontos de acesso, especialmente em relação à tecnologia Hotspot 2.0
  • A arquitetura do wappd é composta pelo próprio serviço de rede, por um conjunto de serviços locais que interagem com as interfaces sem fio do dispositivo e por um canal de comunicação entre componentes via sockets de domínio Unix
  • A vulnerabilidade é causada por um buffer overflow, em que um valor de comprimento obtido diretamente de dados de pacote controlados pelo atacante é usado em uma cópia de memória
Gatilho da vulnerabilidade
  • A vulnerabilidade ocorre na função IAPP_RcvHandlerSSB, em que um valor de comprimento controlado pelo atacante é passado para a macro IAPP_MEM_MOVE
  • Não há verificação de limites além de confirmar que o tamanho máximo do pacote não ultrapassa 1600 bytes
  • O atacante precisa enviar o pacote anexando a estrutura esperada antes da carga maliciosa
  • O comprimento da struct RT_IAPP_HEADER deve ser pequeno, e o campo RT_IAPP_HEADER.Command deve ser 50
Exploração
  • O código de exploit publicado usa uma cadeia ROP para obter execução remota de código por meio da técnica de sobrescrita da Global Offset Table
  • Ele aproveita uma chamada a system() para executar um comando que envia um shell reverso ao atacante
  • O shell reverso é configurado com as ferramentas Bash e Netcat
Proteção da SonicWall
  • As seguintes assinaturas foram distribuídas para ajudar clientes da SonicWall a se protegerem contra a exploração dessa vulnerabilidade
    • IPS: 20322 MediaTek MT7915 wlan Service OOB Write 1
    • IPS: 20323 MediaTek MT7915 wlan Service OOB Write 2
Recomendações de mitigação
  • Como o código de exploit foi publicado, é fortemente recomendado que os usuários atualizem para a versão mais recente de firmware compatível com esses chipsets
Links relacionados

Resumo do GN⁺

  • Este artigo trata de uma vulnerabilidade zero-click grave em chipsets Wi‑Fi da MediaTek, que permite execução remota de código sem interação do usuário
  • A equipe de pesquisa da SonicWall identificou a vulnerabilidade e desenvolveu medidas de mitigação, além de recomendar que os usuários atualizem para o firmware mais recente
  • A vulnerabilidade afeta roteadores e smartphones de diversos fabricantes, e a divulgação recente de um PoC aumenta a chance de exploração
  • Um produto com funcionalidade semelhante são os chipsets Wi‑Fi da Qualcomm, e é importante verificar regularmente as atualizações de segurança

Leituras relacionadas

1 comentários

 
GN⁺ 2024-09-22
Comentários do Hacker News

  • Há um pedido para que o link do OP seja trocado da versão com anúncios para a fonte original

  • Há a opinião de que o código-fonte do driver do SDK do fornecedor da Mediatek é uma bagunça em comparação com o mt76

    • Alguns usuários estão rodando firmware aftermarket com o driver do fornecedor
    • A divisão WiSoC da Mediatek tem engenheiros que se comunicam ativamente com a comunidade FOSS
    • Eles mantêm um fork do OpenWrt que usa mt76
    • Link relacionado: Mediatek OpenWrt Feeds

  • Há a opinião de que o título pode induzir ao erro

    • Alguém ficou preocupado achando que poderia ser um bug de firmware ou de silício porque tem um roteador com Wi-Fi mt76, mas ficou aliviado ao saber que o problema é do SDK do fornecedor
    • Mesmo com o bom suporte ao mt76 no kernel mainline e no hostapd, não faz sentido usar o SDK do fornecedor

  • Há dúvidas sobre a convenção de nomenclatura da MediaTek

    • Presume-se que dispositivos com o chip Wi-Fi mt6631 não sejam afetados, mas não há certeza

  • Diz-se que OpenWrt 19.07 e 21.02 são afetados, mas as builds oficiais usam apenas o driver mt76

  • Um notebook com CPU AMD veio com a placa Wi-Fi MediaTek RZ616, então ela está sendo trocada por uma placa Wi-Fi da Intel

    • O problema é que, depois da troca, as placas RZ616 vão se acumulando

  • Há quem tenha um celular com chipset MediaTek e se lembre de que o fabricante migrou para outro produto por causa de problemas de qualidade nos produtos da MediaTek

    • Não se sabe como o Wi-Fi do celular funciona
    • Quase não usa Wi-Fi, mas gostaria de saber se o celular é afetado

  • As versões 7.4.0.1 ou anteriores do SDK da MediaTek e o OpenWrt 19.07 e 21.02 são afetados

    • A vulnerabilidade está no daemon de rede wappd, incluído no SDK MT7622/MT7915 da MediaTek e no bundle do driver SoftAP RTxxxx
    • O OpenWrt aparentemente não usa wappd

  • Há a opinião de que é impossível entender por que fornecedores de nível C não liberam o firmware como código aberto