今度はMarvellのWi-Fiに脆弱性、オンにしているだけで攻撃可能

　セキュリティ会社のEMBEDIは18日、MarvellのWi-Fiチップセット「Avastar」シリーズに脆弱性があることをブログにて公開した。なお、同内容は2018年11月20～21日にロシアのサンクトペテルブルクで開かれたサイバーセキュリティに関する国際会議「ZeroNights 2018」で公開されたものである。

　GoogleのセキュリティチームであるProject Zeroは、2017年4月にBroadcom Wi-Fiスタックの脆弱性を発見し公開しているが、今回EMBEDIはMarvellのチップセットを用いて、ファームウェアをリバースエンジニアリングすることで脆弱性を発見した。

　Wi-FiのチップセットにはMLME(MAC Layer Management Entity)をハードウェア上に置くもの(FullMAC)と、ソフトウェア側に置くもの(SoftMAC)の2種類が存在するが、FullMACのほうはOS側のシステムドライバに依存することなく、Wi-Fi管理フレームやイベントをすべてチップセット側で行なう。今回の調査対象となるMarvell AvastarはFullMACタイプのものとなる。

　詳細な説明は省くが、EMBEDIはAvastarのLinux向けドライバやファームウェアを静的/動的に解析したところ、「ThreadX」と呼ばれるリアルタイムOSが動作している痕跡が見つかった。そして脆弱性検出のためにファジング(問題を引き起こしそうなデータを大量に送り込んで脆弱性を検出)を実施したところ、少なくとも4カ所にメモリの破損を引き起こす問題が発生したという。

ファジングによる脆弱性検出

　このうちのもっとも重大な問題となるのが、ThreadXのブロックプールオーバーフローによって引き起こされるもの。攻撃者は、オーバーフローによって、次のブロックアロケーションの位置を操作可能となってしまい、攻撃対象のユーザーの操作なしに任意のコードを実行できてしまう。

ThreadXのブロックプールオーバーフロー

　ちなみにPCI ExpressではDMA(Direct Memory Access)が可能なため、仮にAvastarがPCIe接続である場合、攻撃者は容易に昇格してホストを直接攻撃できてしまうが、DMAを持たないSDIO接続でも、2回の昇格によりホストを直接攻撃できることを、Valveの「Steam Link」デバイス上で実証した。

　EMBEDIは、無線デバイスは広範囲な攻撃に常時晒されており、こうした無線チップセットは一般的には攻撃に対する緩和策がない点、そしてデバイスドライバは、たとえDMA機能がなくとも不正な昇格が行なわれる脆弱性に晒されてしまうことに対し警鐘を鳴らしている。