Pesquisadores de cibersegurança descobriram vulnerabilidades em caixas de som inteligentes da Sonos que poderiam ser exploradas por agentes maliciosos para espionar clandestinamente os usuários.
As vulnerabilidades "levaram a uma quebra total na segurança do processo de boot seguro da Sonos em uma ampla gama de dispositivos e permitiram comprometer remotamente vários dispositivos via ataque over-the-air", disseram os pesquisadores de segurança do NCC Group, Alex Plaskett e Robert Herrera.
A exploração bem-sucedida de uma dessas falhas poderia permitir que um atacante remoto obtivesse captura de áudio secreta dos dispositivos Sonos por meio de um ataque over-the-air.
Elas afetam todas as versões anteriores ao lançamento Sonos S2 15.9 e Sonos S1 11.12, que foram distribuídos em outubro e novembro de 2023.
As descobertas foram apresentadas na Black Hat USA 2024.
Uma descrição dos dois defeitos de segurança é a seguinte:
CVE-2023-50809 - Uma vulnerabilidade na pilha Wi-Fi do Sonos One Gen 2 que não valida adequadamente um elemento de informação durante a negociação de um handshake WPA2 de quatro vias, levando a execução remota de código.
CVE-2023-50810 - Uma vulnerabilidade no componente U-Boot do firmware Sonos Era-100 que permitiria a execução persistente de código arbitrário com privilégios de kernel do Linux.
O NCC Group, que fez engenharia reversa do processo de boot para alcançar a execução remota de código nos dispositivos Sonos Era-100 e Sonos One, disse que o CVE-2023-50809 é o resultado de uma vulnerabilidade de corrupção de memória no driver wireless do Sonos One, que é um chipset de terceiros fabricado pela MediaTek.
"No driver wlan, há uma possível escrita fora dos limites devido à validação de entrada incorreta", disse a MediaTek em um aviso sobre o
CVE-2024-20018
.
Isso poderia levar à escalada local de privilégios sem necessidade de privilégios de execução adicionais.
A interação do usuário não é necessária para a exploração.
O acesso inicial obtido dessa maneira abre caminho para uma série de etapas de pós-exploração que incluem obter um shell completo no dispositivo para ganhar controle total no contexto de root, seguido pela implantação de um novo implante Rust capaz de capturar áudio do microfone dentro de uma proximidade física próxima ao alto-falante.
A outra falha, CVE-2023-50810, refere-se a uma cadeia de vulnerabilidades identificadas no processo de boot seguro para violar dispositivos Era-100, tornando possível contornar controles de segurança para permitir a execução de código não assinado no contexto do kernel.
Isso poderia então ser combinado com uma falha de escalada de privilégios N-day para facilitar a execução de código no nível ARM EL3 e extrair segredos criptográficos respaldados por hardware.
"Em geral, há duas conclusões importantes a serem tiradas dessa pesquisa", disseram os pesquisadores.
A primeira é que os componentes OEM precisam estar no mesmo padrão de segurança que os componentes internos.
Os fornecedores também devem realizar modelagem de ameaças de todas as superfícies de ataque externas de seus produtos e garantir que todos os vetores remotos tenham sido submetidos a validação suficiente.
No caso das fraquezas do boot seguro, é importante validar e realizar testes da cadeia de boot para garantir que essas fraquezas não sejam introduzidas.
Tanto vetores de ataque baseados em hardware quanto em software devem ser considerados.
A divulgação ocorre ao mesmo tempo que a empresa de segurança de firmware Binarly revelou que centenas de produtos UEFI de quase uma dúzia de fornecedores são suscetíveis a um problema crítico na cadeia de suprimentos de firmware conhecido como PKfail, que permite aos atacantes contornar o Secure Boot e instalar malware.
Especificamente, descobriu-se que centenas de produtos usam uma Platform Key de teste gerada pela American Megatrends International (AMI), que provavelmente foi incluída em sua implementação de referência na esperança de que seria substituída por outra chave gerada de forma segura por entidades a jusante na cadeia de suprimentos.
"O problema surge do 'master key' do Secure Boot, conhecido como Platform Key (PK) na terminologia UEFI, que não é confiável porque é gerado pelos Independent BIOS Vendors (IBVs) e compartilhado entre diferentes fornecedores", disse, descrevendo isso como uma questão transsilício que afeta as arquiteturas x86 e ARM.
Essa Platform Key [...] muitas vezes não é substituída pelos OEMs ou fornecedores de dispositivos, resultando em dispositivos embarcados com chaves não confiáveis.
Um atacante com acesso à parte privada do PK pode facilmente contornar o Secure Boot manipulando a base de dados Key Exchange Key (KEK), a base de dados de assinaturas (db) e a base de dados de assinaturas proibidas (dbx).
Como resultado, PKfail permite que atores mal-intencionados executem código arbitrário durante o processo de boot, mesmo com o Secure Boot ativado, permitindo que assinem código malicioso e entreguem um bootkit UEFI, como o BlackLotus.
"O primeiro firmware vulnerável ao PKfail foi lançado em maio de 2012, enquanto o mais recente foi lançado em junho de 2024", disse Binarly.
No geral, isso torna essa questão da cadeia de suprimentos uma das mais duradouras do tipo, abrangendo mais de 12 anos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...