Pokud jsou tyto chyby zneužity, mohou útočníkům umožnit získat neoprávněný přístup k citlivým informacím nebo obecně způsobit problémy
Nedávno to prolomila zprávaV jádře Linuxu byly identifikovány dvě zranitelnosti (již katalogizováno pod CVE-2022-42896), které potenciálně lze použít k orchestraci vzdáleného spuštění kódu na úrovni jádra odesláním speciálně vytvořeného paketu L2CAP přes Bluetooth.
Je to zmíněno první chyba zabezpečení (CVE-2022-42896) se vyskytuje při přístupu k již uvolněné oblasti paměti (use-after-free) při implementaci funkcí l2cap_connect a l2cap_le_connect_req.
Selhání využít po vytvoření kanálu prostřednictvím zpětného volání volání nové_připojení, který neblokuje jeho nastavení, ale nastavuje časovač (__set_chan_timer), po uplynutí časového limitu zavolá funkci l2cap_chan_timeout a čištění kanálu bez kontroly dokončení práce s kanálem ve funkcích l2cap_le_connect*.
Výchozí časový limit je 40 sekund a předpokládalo se, že závod nemůže nastat s takovým zpožděním, ale ukázalo se, že kvůli další chybě v ovladači SMP bylo možné okamžitě zavolat časomíru a dosáhnout podmínky závodu.
Problém v l2cap_le_connect_req může způsobit únik paměti jádra a v l2cap_connect můžete přepsat obsah paměti a spustit svůj kód. První variantu útoku lze provést pomocí Bluetooth LE 4.0 (od roku 2009), druhou pomocí Bluetooth BR/EDR 5.2 (od roku 2020).
Ve funkcích linuxového jádra l2cap_connect a l2cap_le_connect_req net/bluetooth/l2cap_core.c jsou po vydání zranitelnosti, které mohou umožnit spuštění kódu a únik paměti jádra (respektive) vzdáleně přes Bluetooth. Vzdálený útočník by mohl spustit kód, který unikne paměti jádra přes Bluetooth, pokud je v těsné blízkosti oběti. Doporučujeme aktualizovat minulý závazek https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4
Druhá zranitelnost který byl detekován (již katalogizován pod CVE-2022-42895) je způsobené únikem zbytkové paměti ve funkci l2cap_parse_conf_req, který lze použít ke vzdálenému získání informací o ukazatelích na struktury jádra odesláním speciálně vytvořených požadavků na konfiguraci.
O této zranitelnosti je zmíněno, že ve funkci l2cap_parse_conf_req byla použita struktura l2cap_conf_efs, pro které nebyla přidělená paměť dříve inicializována, a prostřednictvím manipulací s příznakem FLAG_EFS_ENABLE, bylo možné dosáhnout zahrnutí starých dat baterie v balení.
příznak kanálu FLAG_EFS_ENABLE namísto proměnné remote_efs rozhodnout, zda by měla být použita struktura l2cap_conf_efs efs nebo ne je možné nastavit příznak FLAG_EFS_ENABLE bez skutečného odesílání konfiguračních dat EFS a v tomto případě neinicializovaná struktura l2cap_conf_efs efs budou odeslány zpět vzdálenému klientovi, čímž dojde k úniku informací o obsah paměti jádra, včetně ukazatelů jádra.
Problém nastává pouze na systémech, kde je kernel je vytvořen s možností CONFIG_BT_HS (ve výchozím nastavení zakázána, ale povolena u některých distribucí, jako je Ubuntu). Úspěšný útok také vyžaduje nastavení parametru HCI_HS_ENABLED přes rozhraní pro správu na hodnotu true (ve výchozím nastavení se nepoužívá).
Na těchto dvou objevených chybách již byly vydány prototypy využití, které běží na Ubuntu 22.04, aby demonstrovaly možnost vzdáleného útoku.
K provedení útoku musí být útočník v dosahu Bluetooth; není vyžadováno žádné předchozí párování, ale Bluetooth musí být v počítači aktivní. K útoku stačí znát MAC adresu zařízení oběti, kterou lze zjistit čicháním nebo u některých zařízení vypočítat na základě MAC adresy Wi-Fi.
Nakonec stojí za zmínku byl zjištěn další podobný problém (CVE-2022-42895) v ovladači L2CAP které mohou unikat obsah paměti jádra v paketech konfiguračních informací. První zranitelnost se projevuje od srpna 2014 (kernel 3.16) a druhá od října 2011 (kernel 3.0).
Zájemci o sledování opravy v distribucích tak mohou učinit na následujících stránkách: Debian, ubuntu, Gentoo, RHEL, SUSE, Fedora y Oblouk .