У разі використання цих недоліків зловмисники можуть отримати несанкціонований доступ до конфіденційної інформації або загалом спричинити проблеми
Про це нещодавно повідомили новиниУ ядрі Linux виявлено дві вразливості (вже каталогізовано під CVE-2022-42896), що потенційно можна використовувати для організації віддаленого виконання коду на рівні ядра, надсилаючи через Bluetooth спеціально створений пакет L2CAP.
Згадується, що перша вразливість (CVE-2022-42896) виникає під час доступу до вже звільненої області пам’яті (use-after-free) у реалізації функцій l2cap_connect і l2cap_le_connect_req.
Невдача використано після створення каналу через зворотний дзвінок дзвінок нове_підключення, який не блокує налаштування для нього, але встановлює таймер (__set_chan_timer), виклик функції після тайм-ауту l2cap_chan_timeout і очищення каналу без перевірки завершення роботи з каналом у функціях l2cap_le_connect*.
Тайм-аут за замовчуванням становить 40 секунд, і передбачалося, що умова змагання не може відбутися з такою великою затримкою, але виявилося, що через іншу помилку в драйвері SMP можна було миттєво викликати таймер і досягти умови змагання.
Проблема в l2cap_le_connect_req може спричинити витік пам’яті ядра, а в l2cap_connect ви можете перезаписати вміст пам’яті та запустити свій код. Перший варіант атаки може бути здійснений за допомогою Bluetooth LE 4.0 (з 2009 року), другий — за допомогою Bluetooth BR/EDR 5.2 (з 2020 року).
У функціях ядра Linux l2cap_connect і l2cap_le_connect_req net/bluetooth/l2cap_core.c є уразливості після випуску, які можуть дозволити виконання коду та витік пам’яті ядра (відповідно) віддалено через Bluetooth. Віддалений зловмисник може виконати код, який витікає з пам’яті ядра через Bluetooth, якщо знаходиться в безпосередній близькості від жертви. Ми рекомендуємо оновити попередній комміт https://www.google.com/url https://github.com/torvalds/linux/commit/711f8c3fb3db61897080468586b970c87c61d9e4
Друга вразливість який було виявлено (вже каталогізовано під CVE-2022-42895). викликаний витоком залишкової пам’яті у функції l2cap_parse_conf_req, який можна використовувати для віддаленого отримання інформації про покажчики на структури ядра, надсилаючи спеціально створені запити конфігурації.
Про цю вразливість згадується таке у функції l2cap_parse_conf_req використовувалася структура l2cap_conf_efs, для яких виділена пам'ять не була раніше ініціалізована, і через маніпуляції з прапором FLAG_EFS_ENABLE, вдалося домогтися включення старих даних батареї в упаковці.
прапор каналу FLAG_EFS_ENABLE замість змінної remote_efs вирішити, чи слід використовувати структуру efs l2cap_conf_efs чи ні можна встановити позначку FLAG_EFS_ENABLE без фактичного надсилання конфігураційних даних EFS і, в цьому випадку, неініціалізована структура efs l2cap_conf_efs буде надіслано назад до віддаленого клієнта, що призведе до витоку інформації про вміст пам'яті ядра, включаючи покажчики ядра.
Проблема виникає лише в системах, де ядро він створений з опцією CONFIG_BT_HS (вимкнено за замовчуванням, але ввімкнено в деяких дистрибутивах, як-от Ubuntu). Для успішної атаки також потрібно встановити значення true для параметра HCI_HS_ENABLED через інтерфейс керування (він не використовується за замовчуванням).
Для цих двох виявлених помилок уже випущено прототипи експлуатації, які працюють на Ubuntu 22.04, щоб продемонструвати можливість віддаленої атаки.
Щоб здійснити атаку, зловмисник повинен бути в радіусі дії Bluetooth; попереднього створення пари не потрібно, але на комп’ютері має бути активним Bluetooth. Для атаки достатньо знати MAC-адресу пристрою жертви, яку можна визначити за допомогою сніфінгу або, на деяких пристроях, розрахувати на основі MAC-адреси Wi-Fi.
Наостанок варто згадати про це була виявлена ще одна схожа проблема (CVE-2022-42895) в контролері L2CAP що може призвести до витоку вмісту пам'яті ядра в пакетах конфігураційної інформації. Перша вразливість проявилася з серпня 2014 року (ядро 3.16), а друга з жовтня 2011 року (ядро 3.0).
Для тих, хто зацікавлений у відстеженні виправлення в розподілах, вони можуть зробити це на наступних сторінках: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora y арка .