Hvis de utnyttes, kan disse feilene tillate angripere å få uautorisert tilgang til sensitiv informasjon eller generelt forårsake problemer
Nyheten brøt nylig ut detDe to sårbarhetene ble identifisert i Linux-kjernen (allerede katalogisert under CVE-2022-42896), som potensielt kan brukes til å orkestrere ekstern kjøring av kode på kjernenivå ved å sende en spesiallaget L2CAP-pakke over Bluetooth.
Det er nevnt at den første sårbarheten (CVE-2022-42896) oppstår ved tilgang til et allerede frigjort minneområde (bruk-etter-fri) i implementeringen av funksjonene l2cap_connect og l2cap_le_connect_req.
Feil utnyttet etter å ha opprettet en kanal via tilbakeringing anrop ny_tilkobling, som ikke blokkerer oppsettet for det, men setter en tidtaker (__set_chan_timer), etter en tidsavbrudd, kaller opp funksjonen l2cap_chan_timeout og rengjøring av kanalen uten å kontrollere fullføringen av arbeidet med kanalen i funksjonene l2cap_le_connect*.
Standard timeout er 40 sekunder og det ble antatt at en løpstilstand ikke kunne oppstå med så mye forsinkelse, men det viste seg at på grunn av en annen feil i SMP-føreren, var det mulig å umiddelbart ringe timeren og nå løpstilstanden.
Et problem i l2cap_le_connect_req kan forårsake en kjerneminnelekkasje, og i l2cap_connect kan du overskrive innholdet i minnet og kjøre koden din. Den første varianten av angrepet kan utføres ved hjelp av Bluetooth LE 4.0 (siden 2009), den andre med Bluetooth BR/EDR 5.2 (siden 2020).
Det er sårbarheter etter utgivelse i Linux-kjernefunksjonene l2cap_connect og l2cap_le_connect_req net/bluetooth/l2cap_core.c som kan tillate kodekjøring og kjerneminnelekkasje (henholdsvis) eksternt via Bluetooth. En ekstern angriper kan kjøre kode som lekker kjerneminne over Bluetooth hvis den er i nærheten av offeret. Vi anbefaler å oppdatere den tidligere forpliktelsen https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4
Den andre sårbarheten som ble oppdaget (allerede katalogisert under CVE-2022-42895) er forårsaket av en gjenværende minnelekkasje i funksjonen l2cap_parse_conf_req, som kan brukes til å eksternt få informasjon om pekere til kjernestrukturer ved å sende spesiallagde konfigurasjonsforespørsler.
Om denne sårbarheten er det nevnt at i l2cap_parse_conf_req-funksjonen ble l2cap_conf_efs-strukturen brukt, som det tildelte minnet ikke tidligere ble initialisert for, og gjennom manipulasjoner med flagget FLAG_EFS_ENABLE, det var mulig å oppnå inkludering av gamle data av batteriet i pakken.
kanalflagget FLAG_EFS_ENABLE i stedet for variabelen remote_efs til bestemme om l2cap_conf_efs efs-strukturen skal brukes eller ikke og det er mulig å sette FLAG_EFS_ENABLE-flagget uten å sende EFS-konfigurasjonsdata og, i dette tilfellet, den uinitialiserte l2cap_conf_efs efs-strukturen vil bli sendt tilbake til den eksterne klienten, og dermed lekke informasjon om innholdet i kjerneminnet, inkludert kjernepekere.
Problemet oppstår kun på systemer der kjernen den er bygget med CONFIG_BT_HS-alternativet (deaktivert som standard, men aktivert på noen distribusjoner, som Ubuntu). Et vellykket angrep krever også å sette HCI_HS_ENABLED-parameteren via administrasjonsgrensesnittet til true (den brukes ikke som standard).
På disse to oppdagede feilene har utnyttelsesprototypene som kjører på Ubuntu 22.04 allerede blitt utgitt for å demonstrere muligheten for et eksternt angrep.
For å utføre angrepet må angriperen være innenfor Bluetooth-rekkevidde; ingen tidligere sammenkobling er nødvendig, men Bluetooth må være aktiv på datamaskinen. For et angrep er det nok å vite MAC-adressen til offerets enhet, som kan bestemmes ved å snuse eller, på noen enheter, beregnes basert på Wi-Fi MAC-adressen.
Til slutt er det verdt å nevne det et annet lignende problem ble identifisert (CVE-2022-42895) i L2CAP-kontrolleren som kan lekke kjerneminneinnhold i konfigurasjonsinformasjonspakker. Den første sårbarheten har vært manifestert siden august 2014 (kjerne 3.16), og den andre siden oktober 2011 (kjerne 3.0).
For de som er interessert i å spore korrigeringen i distribusjonene, kan de gjøre det på følgende sider: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora y Arch .