Les puces WiFi de Broadcom vulnérables à des attaques DoS

Une très sérieuse faille dans le logiciel du chipset WiFi de Broadcom peut permettre à un pirate se trouvant à portée d'un routeur de mettre complètement hors ligne les réseaux sans fil en envoyant une seule trame malveillante, obligeant un redémarrage manuel des routeurs pour rétablir la connectivité. Cette vulnérabilité, découverte par le Cybersecurity Research Center (CyRC) de Black Duck lors de tests de fuzzing (essai aléatoire) des implémentations du protocole 802.11, affecte les réseaux sans fil 5 GHz et provoque la déconnexion simultanée de tous les clients connectés, y compris des réseaux invités. « Les failles au niveau de l'implémentation des protocoles, comme le 802.11, sont souvent plus difficiles à détecter que les faiblesses cryptographiques », a déclaré Ben Ronallo, ingénieur principal en cybersécurité chez Black Duck. « La correction des vulnérabilités dans le matériel/firmware est toujours plus lente car elle nécessite un test complet des impacts en aval. Dans le monde des logiciels, le délai généralement cité est de 90 jours, mais pour le matériel ou les firmwares, il est plutôt de 180 jours ou plus. »

Le problème a été découvert alors que des chercheurs testaient la robustesse du protocole des routeurs Asus, mais une enquête plus approfondie a déterminé que la cause première était liée au logiciel utilisé dans les chipsets de Broadcom plutôt qu'au firmware du routeur lui-même. Depuis, le fournisseur a publié un correctif à l'intention de ses clients, et Asus a publié un firmware corrigé pour les systèmes concernés, mais on attend toujours une liste publique complète des produits concernés. Broadcom n'a pas immédiatement répondu à notre demande de commentaires sur le sujet.

Une attaque Dos facile à mettre en œuvre

L'exploitation ne nécessite aucune authentification et fonctionne indépendamment des paramètres de sécurité sans fil configurés, selon l'avis de sécurité. Il suffit à un pirate de se trouver à portée pour transmettre une trame 802.11 spécialement conçue, rendant immédiatement le point d'accès inaccessible à tous les clients sur la bande 5 GHz. Les terminaux ne peuvent se reconnecter qu'après le redémarrage manuel du routeur, ce qui permet de répéter l'attaque à l'infini. Selon James Maude, field CTO chez BeyondTrust, ces conclusions font écho aux premières attaques WiFi qui reposaient sur des tactiques de désauthentification et de déni de service (DoS). « Compte tenu de la dépendance considérable des terminaux personnels à la connectivité et du nombre toujours croissant d'appareils IoT et connectés, les répercussions pourraient être considérables », s’est-il inquiété. M. Maude a averti que des pannes répétées pourraient également donner lieu à des scénarios de type « Evil Twin », dans lesquels un point d'accès malveillant se fait passer pour le réseau officiel et incite les utilisateurs à saisir leurs identifiants via des portails captifs.

« La bonne nouvelle, c’est que la faille semble se limiter aux réseaux 5 GHz, ce qui signifie que de nombreux environnements peuvent automatiquement revenir à une connectivité 2,4 GHz, réduisant ainsi l'exposition immédiate », a ajouté M. Maude. Le CyRC a attribué un score CVSS 4.0 de 8,4 (élevé) à cette vulnérabilité, essentiellement en raison de son impact sur la disponibilité plutôt que sur la confidentialité ou l'intégrité des données. Les tests ont été effectués à l'aide d'un routeur Asus RT-BE86U équipé des versions 3.0.0.6.102_37812 et antérieures du firmware, mais l'avis mettait en garde sur le fait que d'autres appareils utilisant le même logiciel de chipset pourraient être affectés de la même manière.

Des bogues persistants au niveau du chipset

Les chercheurs ont déclaré que cette vulnérabilité mettait en évidence les raisons pour lesquelles la mise en œuvre des piles de protocoles restait exposée à de graves failles. « Cette attaque est à la fois facile à exécuter et très perturbatrice, preuve que même les technologies réseau matures et largement déployées peuvent encore donner lieu à de nouveaux vecteurs d'attaque graves », a souligné Saumitra Das, vice-président de l'ingénierie chez Qualys. « Comme l'attaque peut être lancée par un client non authentifié, le cryptage seul offre peu de protection ». Il a relevé le rôle des tests de fuzzing dans la découverte de tels problèmes. « Au fil des ans, le fuzzing a permis de détecter de nombreuses vulnérabilités, notamment des débordements de tampon dans les pilotes, des conditions de déni de service, l'exécution de code à distance et l'instabilité des performances », a-t-il fait remarquer, ajoutant que la complexité de la pile WiFi rend les failles subtiles difficiles à éliminer.

Le Product Security Incident Response Team (PSIRT) de Broadcom aurait confirmé qu'une version corrigée du logiciel concerné a été mise à la disposition des clients, les fabricants d'équipements devant intégrer le correctif dans leurs propres distributions de firmware. Asus a également déployé un correctif dans la version 3.0.0.6.102_37841 et les versions ultérieures du firmware. Selon le CyRC, les détails techniques spécifiques de la vulnérabilité ont été intentionnellement dissimulés en raison du risque d'exploitation généralisée à travers l'infrastructure sans fil. Les recommandations incluent la segmentation des réseaux sans fil, l'audit des points d'accès en fin de vie, la hiérarchisation des correctifs en fonction de leur importance pour l'entreprise et la surveillance étroite des périphéries du réseau.