Otkrili su ranjivosti u Linuxu koje se mogu iskoristiti putem Bluetooth-a

To su nedavno objavile vijestiIdentificirane su dvije ranjivosti u Linux kernelu (već katalogiziran pod CVE-2022-42896), što potencijalno može se koristiti za orkestriranje daljinskog izvršavanja koda na nivou kernela slanjem posebno kreiranog L2CAP paketa preko Bluetooth-a.

To se spominje prva ranjivost (CVE-2022-42896) se javlja kada se pristupa već oslobođenoj memorijskoj oblasti (use-after-free) u implementaciji funkcija l2cap_connect i l2cap_le_connect_req.

Neuspjeh koristi nakon kreiranja kanala putem povratnog poziva poziv nova_veza, koji ne blokira podešavanje za njega, ali postavlja tajmer (__set_chan_timer), nakon isteka vremena, poziva funkciju l2cap_chan_timeout i čišćenje kanala bez provjere završetka rada s kanalom u funkcijama l2cap_le_connect*.

Podrazumevano vremensko ograničenje je 40 sekundi i pretpostavljeno je da se stanje trke ne može pojaviti sa tolikim kašnjenjem, ali se ispostavilo da je zbog još jedne greške u SMP drajveru bilo moguće momentalno pozvati tajmer i doći do stanja trke.

Problem u l2cap_le_connect_req može uzrokovati curenje memorije kernela, a u l2cap_connect možete prepisati sadržaj memorije i pokrenuti svoj kod. Prva varijanta napada može se izvesti pomoću Bluetooth LE 4.0 (od 2009.), druga pomoću Bluetooth BR/EDR 5.2 (od 2020.).

Postoje ranjivosti nakon objavljivanja u funkcijama jezgre Linuxa l2cap_connect i l2cap_le_connect_req net/bluetooth/l2cap_core.c koje mogu omogućiti izvršavanje koda i curnel memorije (respektivno) daljinski putem Bluetooth-a. Daljinski napadač može izvršiti kod koji propušta memoriju kernela preko Bluetooth-a ako je u neposrednoj blizini žrtve. Preporučujemo ažuriranje prethodnog urezivanja https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4

Druga ranjivost koji je otkriven (već katalogiziran pod CVE-2022-42895) jeste uzrokovano ostatkom memorije u funkciji l2cap_parse_conf_req, koji se može koristiti za daljinsko dobijanje informacija o pokazivačima na strukture kernela slanjem posebno kreiranih zahteva za konfigurisanje.

O ovoj ranjivosti se spominje da u funkciji l2cap_parse_conf_req korištena je struktura l2cap_conf_efs, za koje dodijeljena memorija nije bila prethodno inicijalizirana, i kroz manipulacije sa zastavom FLAG_EFS_ENABLE, bilo je moguće postići uključivanje starih podataka baterije u pakovanju.

zastavicu kanala FLAG_EFS_ENABLE umjesto varijable remote_efs to odlučiti da li l2cap_conf_efs efs strukturu treba koristiti ili ne i moguće je postaviti oznaku FLAG_EFS_ENABLE bez stvarnog slanja EFS konfiguracijskih podataka i, u ovom slučaju, neinicijalizirana l2cap_conf_efs efs struktura će biti vraćen udaljenom klijentu, čime će procuriti informacije o sadržaj memorije kernela, uključujući pokazivače kernela.

Problem se javlja samo na sistemima gdje je kernel izgrađen je sa opcijom CONFIG_BT_HS (onemogućeno po defaultu, ali omogućeno na nekim distribucijama, kao što je Ubuntu). Uspješan napad također zahtijeva postavljanje parametra HCI_HS_ENABLED preko upravljačkog sučelja na true (ne koristi se po defaultu).

Na ove dvije otkrivene greške, prototipovi eksploatacije koji rade na Ubuntu 22.04 su već objavljeni kako bi se demonstrirala mogućnost udaljenog napada.

Da bi izvršio napad, napadač mora biti unutar Bluetooth dometa; nije potrebno prethodno uparivanje, ali Bluetooth mora biti aktivan na računaru. Za napad je dovoljno znati MAC adresu uređaja žrtve, koja se može utvrditi njuškanjem ili, na nekim uređajima, izračunati na osnovu Wi-Fi MAC adrese.

Na kraju je vrijedno spomenuti i to identifikovan je još jedan sličan problem (CVE-2022-42895) u L2CAP kontroleru koji može propuštati sadržaj memorije kernela u paketima informacija o konfiguraciji. Prva ranjivost se manifestuje od avgusta 2014. godine (kernel 3.16), a druga od oktobra 2011. godine (kernel 3.0).

Za one koji su zainteresovani da prate ispravke u distribucijama, to mogu učiniti na sledećim stranicama: Debian, Ubuntu, Gentoo, RHEL, SUSE, fedora y svod .