Exploit crítico en chipsets Wi-Fi de MediaTek: vulnerabilidad zero-click

 (blog.sonicwall.com)
1 puntos por GN⁺ 2024-09-22 | 1 comentarios | Compartir por WhatsApp

Vulnerabilidad grave en chipsets Wi-Fi de MediaTek: la vulnerabilidad Zero-Click (CVE-2024-20017) amenaza a routers y smartphones

Resumen
  • El equipo de investigación de amenazas de SonicWall Capture Labs identificó la vulnerabilidad CVE-2024-20017, evaluó su impacto y desarrolló medidas de mitigación
  • CVE-2024-20017 es una vulnerabilidad zero-click crítica con una puntuación CVSS 3.0 de 9.8, que afecta a los chipsets Wi-Fi MT7622/MT7915 de MediaTek y al paquete de drivers RTxxxx SoftAP
  • Están afectadas las versiones 7.4.0.1 y anteriores del SDK de MediaTek, utilizadas en productos de varios fabricantes como Ubiquiti, Xiaomi y Netgear, así como OpenWrt 19.07 y 21.02
  • La vulnerabilidad permite ejecución remota de código sin interacción del usuario, y MediaTek distribuyó un parche para mitigarla
  • La vulnerabilidad fue divulgada y corregida en marzo, pero un PoC publicado recientemente aumenta la probabilidad de explotación
Resumen técnico
  • La vulnerabilidad existe en wappd, un demonio de red incluido en el SDK MT7622/MT7915 de MediaTek y en el paquete de drivers RTxxxx SoftAP
  • wappd se encarga de configurar y administrar interfaces inalámbricas y puntos de acceso, especialmente en relación con la tecnología Hotspot 2.0
  • La arquitectura de wappd está compuesta por el propio servicio de red, un conjunto de servicios locales que interactúan con las interfaces inalámbricas del dispositivo y un canal de comunicación entre componentes mediante sockets de dominio Unix
  • La vulnerabilidad se produce por un desbordamiento de búfer causado al usar en una copia de memoria un valor de longitud tomado directamente de datos de paquetes controlados por el atacante
Activación de la vulnerabilidad
  • La vulnerabilidad se produce en la función IAPP_RcvHandlerSSB, donde un valor de longitud controlado por el atacante se pasa al macro IAPP_MEM_MOVE
  • No se realiza validación de límites más allá de verificar que no se exceda la longitud máxima de paquete de 1600 bytes
  • El atacante debe enviar el paquete anteponiendo a la carga maliciosa la estructura esperada
  • La longitud de la estructura RT_IAPP_HEADER debe ser pequeña y el campo RT_IAPP_HEADER.Command debe ser 50
Explotación
  • El código de exploit publicado logra ejecución remota de código mediante una cadena ROP usando una técnica de sobrescritura de la tabla global de direcciones
  • Aprovecha una llamada a system() para ejecutar un comando que envía una reverse shell al atacante
  • La reverse shell se configura usando las herramientas Bash y Netcat
Protección de SonicWall
  • Para ayudar a los clientes de SonicWall a defenderse frente a la explotación de esta vulnerabilidad, se distribuyeron las siguientes firmas
    • IPS: 20322 MediaTek MT7915 wlan Service OOB Write 1
    • IPS: 20323 MediaTek MT7915 wlan Service OOB Write 2
Recomendaciones de mitigación
  • Dado que el código de exploit ya fue publicado, se recomienda enfáticamente a los usuarios actualizar al firmware más reciente disponible para los chipsets afectados
Enlaces relacionados

Resumen de GN⁺

  • Este artículo trata sobre una vulnerabilidad zero-click crítica en chipsets Wi-Fi de MediaTek que permite ejecución remota de código sin interacción del usuario
  • El equipo de investigación de SonicWall identificó la vulnerabilidad y desarrolló medidas de mitigación, además de recomendar a los usuarios actualizar al firmware más reciente
  • La vulnerabilidad afecta a routers y smartphones de varios fabricantes, y la reciente publicación de un PoC eleva el riesgo de explotación
  • Un producto con funciones similares son los chipsets Wi-Fi de Qualcomm, y es importante revisar periódicamente las actualizaciones de seguridad

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-09-22
Comentarios en Hacker News

  • Hay una solicitud para que el enlace del OP se cambie por la fuente original y no por una página con publicidad

  • Opinión de que el código fuente del driver del SDK del proveedor de Mediatek es un desastre en comparación con mt76

    • Algunos usuarios están ejecutando firmware aftermarket que usa el driver del proveedor
    • En la división WiSoC de Mediatek hay ingenieros que se comunican activamente con la comunidad FOSS
    • Ellos mantienen un fork de OpenWrt que usa mt76
    • Enlace relacionado: Mediatek OpenWrt Feeds

  • Opinión de que el título puede prestarse a confusión

    • Tiene un router que usa Wi-Fi mt76 y le preocupaba si era un bug del firmware o del silicio, pero se sintió aliviado al saber que es un problema del SDK del proveedor
    • No entiende por qué se usa el SDK del proveedor cuando el soporte de mt76 en el kernel mainline y en hostapd es bueno

  • Dudas sobre la convención de nombres de MediaTek

    • Supone que los dispositivos que usan el chip Wi-Fi mt6631 no están afectados, pero no está seguro

  • Aunque se dice que OpenWrt 19.07 y 21.02 están afectados, los builds oficiales solo usan el driver mt76

  • En una laptop con CPU AMD venía una tarjeta Wi-Fi MediaTek RZ616, así que la está reemplazando por una tarjeta Wi-Fi Intel

    • El problema ahora es que se le están acumulando tarjetas RZ616 después del cambio

  • Tiene un teléfono que usa un chipset MediaTek y recuerda que el fabricante cambió a otro producto por problemas de calidad en los productos de MediaTek

    • No sabe cómo funciona el Wi-Fi en su teléfono
    • Casi no usa Wi-Fi, pero quiere saber si su teléfono está afectado

  • Están afectados MediaTek SDK versión 7.4.0.1 o inferior y OpenWrt 19.07 y 21.02

    • La vulnerabilidad está en el demonio de red wappd, incluido en el SDK MediaTek MT7622/MT7915 y en el bundle del driver SoftAP RTxxxx
    • OpenWrt aparentemente no usa wappd

  • Opinión de que no puede entender por qué los proveedores de categoría C no liberan el firmware como código abierto