Ако бъдат използвани, тези пропуски могат да позволят на нападателите да получат неоторизиран достъп до чувствителна информация или като цяло да причинят проблеми
Новините наскоро разкриха товаБяха идентифицирани две уязвимости в ядрото на Linux (вече каталогизирано под CVE-2022-42896), което потенциално може да се използва за оркестриране на отдалечено изпълнение на код на ниво ядро чрез изпращане на специално създаден L2CAP пакет през Bluetooth.
Споменава се, че първата уязвимост (CVE-2022-42896) възниква при достъп до вече освободена област на паметта (use-after-free) при изпълнението на функциите l2cap_connect и l2cap_le_connect_req.
Неуспех използван след създаване на канал чрез обратно обаждане обадете се нова_връзка, което не блокира настройката за него, но задава таймер (__set_chan_timer), след изчакване, извикване на функцията l2cap_chan_timeout и почистване на канала без проверка на завършването на работата с канала във функциите l2cap_le_connect*.
Времето за изчакване по подразбиране е 40 секунди и се предполагаше, че условие за състезание не може да възникне с толкова много забавяне, но се оказа, че поради друг бъг в драйвера на SMP е възможно незабавно да се извика таймерът и да се достигне условието за състезание.
Проблем в l2cap_le_connect_req може да причини изтичане на памет на ядрото, а в l2cap_connect можете да презапишете съдържанието на паметта и да изпълните вашия код. Първият вариант на атаката може да се извърши с помощта на Bluetooth LE 4.0 (от 2009 г.), вторият с помощта на Bluetooth BR/EDR 5.2 (от 2020 г.).
Има уязвимости след пускане във функциите на ядрото на Linux l2cap_connect и l2cap_le_connect_req net/bluetooth/l2cap_core.c, които могат да позволят изпълнение на код и изтичане на памет на ядрото (съответно) дистанционно чрез Bluetooth. Отдалечен нападател може да изпълни код, който пропуска памет на ядрото през Bluetooth, ако е в непосредствена близост до жертвата. Препоръчваме актуализиране на последния ангажимент https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4
Втората уязвимост който е открит (вече каталогизиран под CVE-2022-42895) е причинено от изтичане на остатъчна памет във функцията l2cap_parse_conf_req, който може да се използва за дистанционно получаване на информация за указатели към структурите на ядрото чрез изпращане на специално създадени заявки за конфигуриране.
За тази уязвимост се споменава, че във функцията l2cap_parse_conf_req е използвана структурата l2cap_conf_efs, за които разпределената памет не е била предварително инициализирана, и чрез манипулации с флаг FLAG_EFS_ENABLE, беше възможно да се постигне включване на стари данни от батерията в опаковката.
флага на канала FLAG_EFS_ENABLE вместо променливата remote_efs към реши дали l2cap_conf_efs efs структурата трябва да се използва или не и възможно е да зададете флага FLAG_EFS_ENABLE, без всъщност да изпращате данни за конфигурация на EFS и в този случай неинициализираната efs структура l2cap_conf_efs ще бъдат изпратени обратно на отдалечения клиент, като по този начин ще изтече информация за съдържание на паметта на ядрото, включително указатели на ядрото.
Проблемът възниква само на системи, където ядрото той е изграден с опцията CONFIG_BT_HS (деактивирана по подразбиране, но активирана в някои дистрибуции, като Ubuntu). Успешната атака също изисква настройка на параметъра HCI_HS_ENABLED чрез интерфейса за управление на true (не се използва по подразбиране).
За тези две открити грешки прототипите за експлоатация, които работят на Ubuntu 22.04, вече са пуснати, за да демонстрират възможността за отдалечена атака.
За да извърши атаката, нападателят трябва да е в обхвата на Bluetooth; не е необходимо предварително сдвояване, но Bluetooth трябва да е активен на компютъра. За атака е достатъчно да знаете MAC адреса на устройството на жертвата, който може да бъде определен чрез подслушване или, при някои устройства, изчислен въз основа на Wi-Fi MAC адреса.
Накрая си струва да споменем това беше идентифициран друг подобен проблем (CVE-2022-42895) в L2CAP контролера което може да изтече съдържание на паметта на ядрото в информационните пакети за конфигурация. Първата уязвимост се проявява от август 2014 г. (ядро 3.16), а втората от октомври 2011 г. (ядро 3.0).
За тези, които се интересуват от проследяване на корекцията в разпределенията, те могат да го направят на следните страници: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora y Арка .