Ak sú tieto chyby zneužité, môžu útočníkom umožniť získať neoprávnený prístup k citlivým informáciám alebo vo všeobecnosti spôsobiť problémy
Nedávno to prelomila správaV linuxovom jadre boli identifikované dve zraniteľnosti (už katalogizované pod CVE-2022-42896), ktoré potenciálne možno použiť na organizáciu vzdialeného spustenia kódu na úrovni jadra odoslaním špeciálne vytvoreného paketu L2CAP cez Bluetooth.
Je to spomenuté prvá zraniteľnosť (CVE-2022-42896) sa vyskytuje pri prístupe do už uvoľnenej oblasti pamäte (use-after-free) pri implementácii funkcií l2cap_connect a l2cap_le_connect_req.
Zlyhanie po vytvorení kanála cez spätné volanie hovor nové_pripojenie, ktorý neblokuje jeho nastavenie, ale nastavuje časovač (__set_chan_timer), po uplynutí časového limitu zavolanie funkcie l2cap_chan_timeout a čistenie kanála bez kontroly dokončenia práce s kanálom vo funkciách l2cap_le_connect*.
Predvolený časový limit je 40 sekúnd a predpokladalo sa, že podmienky pretekov nemôžu nastať s takým oneskorením, ale ukázalo sa, že kvôli ďalšej chybe v ovládači SMP bolo možné okamžite zavolať časomieru a dosiahnuť podmienky pretekov.
Problém v l2cap_le_connect_req môže spôsobiť únik pamäte jadra a v l2cap_connect môžete prepísať obsah pamäte a spustiť svoj kód. Prvý variant útoku je možné uskutočniť pomocou Bluetooth LE 4.0 (od roku 2009), druhý pomocou Bluetooth BR/EDR 5.2 (od roku 2020).
Vo funkciách linuxového jadra l2cap_connect a l2cap_le_connect_req net/bluetooth/l2cap_core.c sú po vydaní slabé miesta, ktoré môžu umožniť spustenie kódu a únik pamäte jadra (v tomto poradí) na diaľku cez Bluetooth. Vzdialený útočník by mohol spustiť kód, ktorý uniká pamäťou jadra cez Bluetooth, ak je v tesnej blízkosti obete. Odporúčame aktualizovať predchádzajúci záväzok https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4
Druhá zraniteľnosť ktorý bol zistený (už katalogizovaný pod CVE-2022-42895), je spôsobené únikom zvyškovej pamäte vo funkcii l2cap_parse_conf_req, ktorý možno použiť na vzdialené získanie informácií o ukazovateľoch na štruktúry jadra odoslaním špeciálne vytvorených konfiguračných požiadaviek.
O tejto zraniteľnosti sa spomína, že vo funkcii l2cap_parse_conf_req bola použitá štruktúra l2cap_conf_efs, pre ktoré alokovaná pamäť nebola predtým inicializovaná, a prostredníctvom manipulácií s príznakom FLAG_EFS_ENABLE, bolo možné dosiahnuť zahrnutie starých údajov batérie v balení.
príznak kanála FLAG_EFS_ENABLE namiesto premennej remote_efs rozhodnúť, či sa má alebo nemá použiť štruktúra l2cap_conf_efs efs a je možné nastaviť príznak FLAG_EFS_ENABLE bez skutočného odosielania konfiguračných údajov EFS a v tomto prípade neinicializovanú štruktúru l2cap_conf_efs efs budú odoslané späť vzdialenému klientovi, čím dôjde k úniku informácií o obsah pamäte jadra vrátane ukazovateľov jadra.
Problém sa vyskytuje iba na systémoch, kde je jadro je zostavený s možnosťou CONFIG_BT_HS (v predvolenom nastavení zakázaná, ale povolená na niektorých distribúciách, ako je Ubuntu). Úspešný útok vyžaduje aj nastavenie parametra HCI_HS_ENABLED cez rozhranie správy na hodnotu true (štandardne sa nepoužíva).
Na základe týchto dvoch objavených chýb už boli vydané prototypy využívania, ktoré bežia na Ubuntu 22.04, aby demonštrovali možnosť vzdialeného útoku.
Na vykonanie útoku musí byť útočník v dosahu Bluetooth; nie je potrebné žiadne predchádzajúce párovanie, ale v počítači musí byť aktívne rozhranie Bluetooth. Na útok stačí poznať MAC adresu zariadenia obete, ktorá sa dá zistiť sniffovaním alebo na niektorých zariadeniach vypočítaná na základe MAC adresy Wi-Fi.
Nakoniec to stojí za zmienku bol zistený ďalší podobný problém (CVE-2022-42895) v ovládači L2CAP ktoré môžu uniknúť obsahu pamäte jadra v paketoch konfiguračných informácií. Prvá zraniteľnosť sa prejavuje od augusta 2014 (kernel 3.16) a druhá od októbra 2011 (kernel 3.0).
Záujemcovia o sledovanie opravy v distribúciách tak môžu urobiť na nasledujúcich stránkach: debian, ubuntu, gentoo, RHEL, SUSE, Fedora y Oblúk .