Уязвимость в прошивках на базе ThreadX, позволяющая атаковать различные устройства через WiFi
Исследователи безопасности из компании Embedi раскрыли информацию об уязвимостях в платформе ThreadX RTOS, применяемой для обеспечения работы прошивок. Прошивки на базе ThreadX используются в более чем 6 миллиардах различных мобильных и потребительских устройств. На примере беспроводного чипсета Marvell Avastar 88w8897 продемонстрирована возможность совершения реальной удаленной атаки, позволяющей выполнить код с привилегиями ядра операционной системы.
Эксплуатация уязвимости в RTOS-окружении ThreadX позволяет получить контроль над программным окружением, в котором выполняется прошивка. Данное окружение выполняется в контексте беспроводного чипа и не имеет доступа к системной памяти, поэтому для выполнения атаки на основную систему применяется еще одна уязвимость в проприетарном модуле ядра для чипов Marvell Avastar, отвечающем за взаимодействие окружения прошивки и основной ОС. При этом техника эксплуатации не специфична для чипов Marvell и может быть адаптирована для атаки на любые другие чипы, в прошивках которых используется RTOS ThreadX.
Выявлено несколько путей совершения атаки, но наиболее простым является атака во время операции сканирования сети, которая автоматически запускается беспроводным чипом раз в пять минут. Уязвимость позволяет добиться контролируемого переполнения буфера в окружении на базе ThreadX при обработке специально оформленного пакета, полученного во время сканирования сети. В случае удачного стечения обстоятельств атакующий может переписать указатель, используемый для перехода при выполнении дальнейших операций. Атака не требует выполнения от пользователя каких-либо действий - достаточно нахождения подсистемы WiFi у жертвы во включенном состоянии и нахождение в пределах досягаемости от беспроводной точки доступа атакующего.
Вероятность успешного проведения атаки оценивается в 50-60% для каждой попытки и зависит от стадии сканирования, на которой выполнена обработка пакета атакующего. Чип Marvell Avastar достаточно широко распространен и применяется для обеспечения работы Bluetooth и WiFi во многих смартфонах, планшетах, ноутбуках, медиацентрах, домашних маршрутизаторах, игровых контроллерах и автомобильных информационно-развлекательных системах, в том числе в таких устройствах, как Samsung Chromebook, Microsoft Surface, Sony PS4 и Valve Steamlink. Пример успешной атаки продемонстрирован для удаленного получения контроля за телеприставкой Valve Steamlink.