Si s'exploten, aquestes falles poden permetre als atacants obtenir accés no autoritzat a informació confidencial o, en general, causar problemes
Fa poc es va donar a conèixer la notícia de quèi es van identificar dues vulnerabilitats al nucli de Linux (ja catalogada sota CVE-2022-42896), que potencialment es pot fer servir per organitzar l'execució remota de codi a nivell del nucli mitjançant l'enviament d'un paquet L2CAP especialment dissenyat a través de Bluetooth.
S'esmenta que la primera vulnerabilitat (CVE-2022-42896) es produeix en accedir a una àrea de memòria ja alliberada (use-after-free) a la implementació de les funcions l2cap_connect i l2cap_le_connect_req.
la decisió s'aprofita després de crear un canal a través de la trucada de devolució de trucada new_connection, el qual no es bloqueja la configuració per a això, però es configura un temporitzador (__set_chan_timer), després d'un temps d'espera, trucant a la funció l2cap_chan_timeout i netejant el canal sense verificar la terminació del treball amb el canal en les funcions l2cap_le_connect*.
El temps d'espera predeterminat és de 40 segons i es va assumir que una condició de carrera no podia passar amb tant retard, però va resultar que a causa d'un altre error al controlador SMP, va ser possible trucar instantàniament al temporitzador i assolir la condició de carrera.
Un problema a l2cap_le_connect_req pot provocar una fuita de memòria del nucli, ia l2cap_connect pot sobreescriure el contingut de la memòria i executar el codi. La primera variant de l'atac es pot dur a terme usant Bluetooth LE 4.0 (des del 2009), la segona usant Bluetooth BR/EDR 5.2 (des del 2020).
Hi ha vulnerabilitats d'ús posterior a l'alliberament en les funcions l2cap_connect i l2cap_le_connect_req del nucli de Linux net/bluetooth/l2cap_core.c que poden permetre l'execució de codi i la pèrdua de memòria del nucli (respectivament) de forma remota a través de Bluetooth. Un atacant remot podria executar codi que filtra la memòria del nucli mitjançant Bluetooth si és a prop de la víctima. Recomanem actualitzar la confirmació passada https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4
La segona vulnerabilitat que va ser detectada (ja catalogada sota CVE-2022-42895) està provocada per una fuita de memòria residual a la funció l2cap_parse_conf_req, que es pot utilitzar per obtenir informació de manera remota sobre punters a estructures del nucli mitjançant l'enviament de sol·licituds de configuració especialment dissenyades.
Sobre aquesta vulnerabilitat s'esmenta que a la funció l2cap_parse_conf_req, es va fer servir l'estructura l2cap_conf_efs, per a la qual la memòria assignada no va ser inicialitzada prèviament, i mitjançant manipulacions amb l'indicador FLAG_EFS_ENABLE, va ser possible aconseguir la inclusió de dades antigues de la pila al paquet.
l'indicador de canal FLAG_EFS_ENABLE en lloc de la variable remote_efs per decidir si l'estructura l2cap_conf_efs efs s'ha de fer servir o no i és possible configurar l'indicador FLAG_EFS_ENABLE sense enviar realment dades de configuració EFS i, en aquest cas, l'estructura efs l2cap_conf_efs no inicialitzada s'enviarà de tornada al client remot, per la qual cosa es filtrarà informació sobre el contingut de la memòria del nucli, inclosos els punters del nucli.
El problema només passa en sistemes on el nucli està construït amb l'opció CONFIG_BT_HS (deshabilitada per defecte, però habilitada en algunes distribucions, com ara Ubuntu). Un atac exitós també requereix establir el paràmetre HCI_HS_ENABLED a través de la interfície d'administració en veritable (no es fa servir per defecte).
Sobre aquests dos errors descoberts ja es van donar a conèixer els prototips d'explotació que s'executen a Ubuntu 22.04/XNUMX per demostrar la possibilitat d'un atac remot.
Per fer l'atac, l'atacant ha d'estar dins l'abast de Bluetooth; no cal aparellament previ, però Bluetooth ha d'estar actiu a l'ordinador. Per a un atac, només cal conèixer la direcció MAC del dispositiu de la víctima, que es pot determinar mitjançant un sniffing o, en alguns dispositius, calcular-se en funció de la direcció MAC de Wi-Fi.
Finalment cal esmentar que es va identificar un altre problema similar (CVE-2022-42895) al controlador L2CAP que pot filtrar el contingut de la memòria del nucli als paquets d'informació de configuració. La primera vulnerabilitat s'ha manifestat des de l'agost del 2014 (kernel 3.16), i la segona des de l'octubre del 2011 (kernel 3.0).
Per als interessats en fer un seguiment de la correcció en les distribucions, ho poden fer a les pàgines següents: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora y Arc .