公開日:2019/04/18 最終更新日:2020/04/02

JVNVU#90663693
Broadcom 製 Wi-Fi チップセット向けの複数のドライバに複数の脆弱性

概要

Broadcom 製 Wi-Fi チップセット用 Broadcom wl ドライバおよびオープンソースの brcmfmac ドライバには複数の脆弱性が存在します。

影響を受けるシステム

  • Broadcom wl ドライバ
  • brcmfmac ドライバ

詳細情報

Broadcom wl ドライバの脆弱性:
クライアントがアクセスポイント (AP) との間で行う 4-way ハンドシェイク中の EAPOL メッセージ 3 の解析処理には、2つのヒープバッファオーバーフローが存在します。

ヒープバッファオーバーフロー - CVE-2019-9501
32 バイトを超えるベンダ情報要素を処理することで、wlc_wpa_sup_eapol 関数でヒープバッファオーバーフローが発生します。
ヒープバッファオーバーフロー - CVE-2019-9502
ベンダ情報要素のデータ長が164 バイトより大きい場合、wlc_wpa_plumb_gtk 関数でヒープバッファオーバーフローが発生します。

NOTE: Broadcom wl ドライバを SoftMAC チップセットで使用している場合、これらのバッファオーバフローはカーネル内で発生します。FullMAC チップセットで使用している場合、これらのバッファオーバフローはチップセットのファームウェア内で発生します。


オープンソースの brcmfmac ドライバに存在する脆弱性:
brcmfmac ドライバは Broadcom FullMAC チップセットでのみ動作するドライバです。

フレーム検証回避の脆弱性 - CVE-2019-9503
brcmfmac ドライバでは、リモートソースからファームウェアイベントフレームを受信した場合には is_wlc_event_frame 関数によってこのフレームを破棄し、ホストからファームウェアイベントフレームを受信した場合には適切なハンドラを呼び出すように作られています。
しかし、チップセットを接続するバスが USBの場合(例えば Wi-Fi ドングルなど)、上記の送信元に応じたフレーム検証処理が回避され、リモートソースからのファームウェアイベントフレームを処理させられる可能性があります。
ヒープバッファオーバーフロー - CVE-2019-9500
Wake-up on Wireless LAN 機能を有効に設定している場合、細工されたイベントフレームを処理することで、brcmf_wowl_nd_results 関数でヒープバッファオーバーフローが発生する可能性があります。
また、フレーム検証回避の脆弱性 (CVE-2019-9503) と組み合わせることで、遠隔からの攻撃に悪用される可能性があります。

想定される影響

細工された Wi-Fi フレームを処理することで、サービス運用妨害 (DoS) 状態を引き起こされる可能性があります。
状況によっては、任意のコードを実行される可能性があります。

対策方法

brcmfmac ドライバにパッチを適用する
開発者が提供する情報をもとに、パッチを適用してください。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、脆弱性の影響を軽減することが可能です。

  • 接続する Wi-Fi ネットワークは信頼できるものだけにする

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2019/04/18
オムロン株式会社 脆弱性情報提供済み 2019/04/18
ジェイティ エンジニアリング株式会社 該当製品無し 2019/04/18
ソニー株式会社 脆弱性情報提供済み 2019/04/18
ソースネクスト株式会社 該当製品無し 2019/04/18
住友電気工業株式会社 該当製品無し(調査中) 2019/04/26
富士通株式会社 該当製品無し 2019/04/19
東芝テック株式会社 該当製品無し 2019/06/05
株式会社JVCケンウッド 脆弱性情報提供済み 2019/04/18
株式会社バッファロー 該当製品あり 2020/04/01 株式会社バッファロー の告知ページ
ベンダ リンク
Broadcom Inc. Broadcom Inc. | Connecting Everything

参考情報

  1. CERT/CC Vulnerability Note VU#166939
    Broadcom WiFi chipset drivers contain multiple vulnerabilities
  2. Quarkslab's blog
    Reverse-engineering Broadcom wireless chipsets
  3. Linux-Wireless Archive on lore.kernel.org
    [PATCH 0/6] brcmfmac: smallish series
  4. kernel/git/torvalds/linux.git - Linux kernel source tree
    brcmfmac: add subtype check for event handling in data path
  5. kernel/git/torvalds/linux.git - Linux kernel source tree
    brcmfmac: assure SSID length from firmware is limited

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2019-9501
CVE-2019-9502
CVE-2019-9503
CVE-2019-9500
JVN iPedia

更新履歴

2019/04/19
ソースネクスト株式会社のベンダステータスが更新されました
2019/04/19
富士通株式会社のベンダステータスが更新されました
2019/04/26
東芝テック株式会社のベンダステータスが更新されました
2019/04/26
住友電気工業株式会社のベンダステータスが更新されました
2019/06/05
東芝テック株式会社のベンダステータスが更新されました
2020/04/02
株式会社バッファローのベンダステータスが更新されました