Si elles sont exploitées, ces failles peuvent permettre aux attaquants d'obtenir un accès non autorisé à des informations sensibles ou de causer des problèmes en général.
La nouvelle a récemment éclaté quee deux vulnérabilités ont été identifiées dans le noyau Linux (déjà catalogué sous CVE-2022-42896), qui potentiellement peut être utilisé pour orchestrer l'exécution de code à distance au niveau du noyau en envoyant un paquet L2CAP spécialement conçu via Bluetooth.
Il est mentionné que la première vulnérabilité (CVE-2022-42896) survient lors de l'accès à une zone mémoire déjà libérée (use-after-free) dans l'implémentation des fonctions l2cap_connect et l2cap_le_connect_req.
Échec exploité après la création d'un canal par rappel appeler nouvelle_connexion, qui ne bloque pas sa configuration, mais définit un minuteur (__set_chan_timer), après un délai d'attente, en appelant la fonction l2cap_chan_timeout et nettoyer le canal sans vérifier l'achèvement du travail avec le canal dans les fonctions l2cap_le_connect*.
Le délai d'attente par défaut est de 40 secondes et il a été supposé qu'une condition de concurrence ne pouvait pas se produire avec autant de retard, mais il s'est avéré qu'en raison d'un autre bogue dans le pilote SMP, il était possible d'appeler instantanément la minuterie et d'atteindre la condition de concurrence.
Un problème dans l2cap_le_connect_req peut provoquer une fuite de mémoire du noyau, et dans l2cap_connect vous pouvez écraser le contenu de la mémoire et exécuter votre code. La première variante de l'attaque peut être effectuée en utilisant Bluetooth LE 4.0 (depuis 2009), la seconde en utilisant Bluetooth BR/EDR 5.2 (depuis 2020).
Il existe des vulnérabilités post-publication dans les fonctions du noyau Linux l2cap_connect et l2cap_le_connect_req net/bluetooth/l2cap_core.c qui peuvent permettre l'exécution de code et une fuite de mémoire du noyau (respectivement) à distance via Bluetooth. Un attaquant distant pourrait exécuter du code qui fuit la mémoire du noyau via Bluetooth s'il se trouve à proximité de la victime. Nous vous recommandons de mettre à jour le commit passé https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4
La deuxième vulnérabilité qui a été détecté (déjà catalogué sous CVE-2022-42895) est causé par une fuite mémoire résiduelle dans la fonction l2cap_parse_conf_req, qui peut être utilisé pour obtenir à distance des informations sur les pointeurs vers les structures du noyau en envoyant des requêtes de configuration spécialement conçues.
À propos de cette vulnérabilité, il est mentionné que dans la fonction l2cap_parse_conf_req, la structure l2cap_conf_efs a été utilisée, dont la mémoire allouée n'a pas été préalablement initialisée, et par des manipulations avec le drapeau FLAG_EFS_ENABLE, il a été possible d'obtenir l'inclusion d'anciennes données de la batterie dans l'emballage.
l'indicateur de canal FLAG_EFS_ENABLE au lieu de la variable remote_efs pour décider si la structure efs l2cap_conf_efs doit être utilisée ou non et il est possible de définir le drapeau FLAG_EFS_ENABLE sans envoyer réellement les données de configuration EFS et, dans ce cas, la structure efs l2cap_conf_efs non initialisée sera renvoyé au client distant, ce qui divulguera des informations sur le contenu de la mémoire du noyau, y compris les pointeurs du noyau.
Le problème ne se produit que sur les systèmes où le noyau il est construit avec l'option CONFIG_BT_HS (désactivée par défaut, mais activée sur certaines distributions, comme Ubuntu). Une attaque réussie nécessite également de définir le paramètre HCI_HS_ENABLED via l'interface de gestion sur true (il n'est pas utilisé par défaut).
Sur ces deux bogues découverts, les prototypes d'exploitation qui s'exécutent sur Ubuntu 22.04 ont déjà été publiés pour démontrer la possibilité d'une attaque à distance.
Pour mener à bien l'attaque, l'attaquant doit se trouver à portée Bluetooth ; aucun appairage préalable n'est requis, mais le Bluetooth doit être actif sur l'ordinateur. Pour une attaque, il suffit de connaître l'adresse MAC de l'appareil de la victime, qui peut être déterminée par reniflage ou, sur certains appareils, calculée en fonction de l'adresse MAC Wi-Fi.
Enfin, il convient de mentionner que un autre problème similaire a été identifié (CVE-2022-42895) dans le contrôleur L2CAP qui peut divulguer le contenu de la mémoire du noyau dans les paquets d'informations de configuration. La première vulnérabilité s'est manifestée depuis août 2014 (kernel 3.16), et la seconde depuis octobre 2011 (kernel 3.0).
Pour ceux qui souhaitent suivre la correction dans les distributions, ils peuvent le faire sur les pages suivantes : Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora y voûte .