Lỗ hổng nghiêm trọng trong chipset Wi‑Fi của MediaTek: lỗ hổng zero-click (CVE-2024-20017) đe dọa router và smartphone
Tổng quan
- Nhóm nghiên cứu mối đe dọa SonicWall Capture Labs đã xác định lỗ hổng CVE-2024-20017, đánh giá tác động của nó và phát triển biện pháp giảm thiểu
- CVE-2024-20017 là một lỗ hổng zero-click nghiêm trọng với điểm CVSS 3.0 là 9.8, ảnh hưởng đến MediaTek Wi‑Fi chipset MT7622/MT7915 và gói driver RTxxxx SoftAP
- MediaTek SDK phiên bản 7.4.0.1 trở về trước, OpenWrt 19.07 và 21.02, được sử dụng trong sản phẩm của nhiều nhà sản xuất như Ubiquiti, Xiaomi và Netgear, đều bị ảnh hưởng
- Lỗ hổng này cho phép thực thi mã từ xa mà không cần tương tác của người dùng, và MediaTek đã phát hành bản vá để giảm thiểu rủi ro
- Lỗ hổng này đã được công bố và vá vào tháng 3, nhưng PoC được công khai gần đây làm tăng khả năng bị khai thác
Tổng quan kỹ thuật
- Lỗ hổng tồn tại trong
wappd, một daemon mạng nằm trong MediaTek MT7622/MT7915 SDK và gói driver RTxxxx SoftAP
wappd có vai trò cấu hình và quản lý giao diện không dây cùng các access point, đặc biệt liên quan đến công nghệ Hotspot 2.0- Kiến trúc của
wappd gồm chính dịch vụ mạng, một tập hợp dịch vụ cục bộ tương tác với giao diện không dây của thiết bị, và kênh giao tiếp giữa các thành phần thông qua Unix domain socket
- Lỗ hổng phát sinh do tràn bộ đệm vì một giá trị độ dài lấy trực tiếp từ dữ liệu gói tin do kẻ tấn công kiểm soát được dùng cho thao tác sao chép bộ nhớ
Kích hoạt lỗ hổng
- Lỗ hổng xảy ra trong hàm
IAPP_RcvHandlerSSB, nơi giá trị độ dài do kẻ tấn công kiểm soát được truyền vào macro IAPP_MEM_MOVE
- Không có kiểm tra biên nào ngoài việc xác nhận không vượt quá độ dài gói tối đa 1600 byte
- Kẻ tấn công phải gửi gói tin với cấu trúc mong đợi được gắn trước payload tấn công
- Độ dài của cấu trúc
RT_IAPP_HEADER phải nhỏ, và trường RT_IAPP_HEADER.Command phải là 50
Khai thác
- Mã khai thác được công bố sử dụng chuỗi ROP để đạt thực thi mã từ xa bằng kỹ thuật ghi đè bảng địa chỉ toàn cục
- Nó tận dụng lời gọi
system() để thực thi lệnh gửi reverse shell về cho kẻ tấn công
- Reverse shell được thiết lập bằng các công cụ Bash và Netcat
Bảo vệ của SonicWall
- Các chữ ký sau đã được triển khai để giúp khách hàng SonicWall phòng vệ trước việc khai thác lỗ hổng này
- IPS: 20322 MediaTek MT7915 wlan Service OOB Write 1
- IPS: 20323 MediaTek MT7915 wlan Service OOB Write 2
Khuyến nghị giảm thiểu
- Do mã khai thác đã được công khai, người dùng được khuyến nghị mạnh mẽ nâng cấp lên phiên bản firmware mới nhất cho chipset bị ảnh hưởng
Liên kết liên quan
Tóm tắt của GN⁺
- Bài viết này đề cập đến một lỗ hổng zero-click nghiêm trọng trong chipset Wi‑Fi của MediaTek, cho phép thực thi mã từ xa mà không cần tương tác của người dùng
- Nhóm nghiên cứu của SonicWall đã xác định lỗ hổng này và phát triển biện pháp giảm thiểu, đồng thời khuyến nghị người dùng nâng cấp lên firmware mới nhất
- Lỗ hổng ảnh hưởng đến router và smartphone của nhiều nhà sản xuất, và khả năng bị khai thác tăng cao do PoC mới được công khai gần đây
- Một sản phẩm có chức năng tương tự là chipset Wi‑Fi của Qualcomm, và điều quan trọng là phải kiểm tra các bản cập nhật bảo mật định kỳ
1 bình luận
Ý kiến Hacker News
Có yêu cầu đổi liên kết của OP sang nguồn gốc thay vì trang có quảng cáo
Có ý kiến cho rằng mã nguồn driver trong SDK của nhà cung cấp từ Mediatek rất lộn xộn nếu so với mt76
Có ý kiến cho rằng tiêu đề có thể gây hiểu nhầm
Có thắc mắc về quy ước đặt tên của MediaTek
Có nói rằng OpenWrt 19.07 và 21.02 bị ảnh hưởng, nhưng các bản build chính thức chỉ dùng driver mt76
Có người đang thay card Wi-Fi MediaTek RZ616 trong laptop dùng CPU AMD bằng card Wi-Fi Intel
Có người dùng điện thoại sử dụng chipset MediaTek và nhớ rằng nhà cung cấp đã chuyển sang sản phẩm khác vì vấn đề chất lượng của MediaTek
MediaTek SDK phiên bản 7.4.0.1 trở xuống cùng OpenWrt 19.07 và 21.02 bị ảnh hưởng
wappdđi kèm các gói MediaTek MT7622/MT7915 SDK và driver SoftAP RTxxxxwappdCó ý kiến nói rằng không thể hiểu nổi vì sao các nhà cung cấp hạng C lại không công khai firmware dưới dạng mã nguồn mở