Ad aprile 2022, FreeBSD ha corretto una vulnerabilità critica di tipo heap overflow nel Wi-Fi stack del kernel, identificata come CVE-2022-23088 e scoperta dal ricercatore m00nbsd.

Questa falla, presente da 13 anni, permetteva a un attaccante nelle vicinanze di eseguire codice arbitrario nel kernel della vittima.

Il problema risiedeva nella funzione ieee80211_parse_beacon(), che analizza i “beacon frames” inviati dagli access point durante la scansione delle reti Wi-Fi.

In particolare, il codice salvava un puntatore all’opzione IEEE80211_ELEMID_MESHID senza verificare la lunghezza del dato (frm[1]).

Successivamente, nella funzione sta_add(), un’operazione memcpy() copiava il contenuto dell’opzione in un buffer di dimensione fissa, causando un buffer overflow.

Questa falla consentiva a un attaccante di controllare sia la dimensione dell’overflow che i dati scritti in memoria, sovrascrivendo campi cruciali nella struttura ieee80211_scan_entry.

In particolare, poteva modificare i puntatori ies->data e ies->len, utilizzati in ieee80211_ies_init(), ottenendo una write-what-where primitive, ovvero la possibilità di scrivere dati arbitrari in qualsiasi indirizzo del kernel semplicemente inviando un frame Wi-Fi appositamente modificato.

La vulnerabilità interessava tutte le versioni di FreeBSD dal 2009, comprese derivate come pfSense e OPNsense.

Poiché FreeBSD è alla base del sistema operativo Orbis OS su PlayStation 4 e PlayStation 5, in teoria la falla potrebbe essere sfruttata per attaccare queste console.

Tuttavia, Sony implementa misure di sicurezza avanzate nel kernel delle console, tra cui:

• Mitigazioni del kernel per prevenire exploit noti.
• Sandboxing per isolare i processi.
• Protezioni della memoria per impedire modifiche non autorizzate.

Queste difese potrebbero rendere più difficile l’utilizzo della vulnerabilità per un jailbreak.

L’exploit originale per FreeBSD 13.0 richiedeva una scheda Wi-Fi in modalità monitor per inviare pacchetti malevoli. Per adattarlo a PS4 e PS5, sarebbe necessaria un’analisi dettagliata dell’implementazione del modulo Wi-Fi sulle console.

Se il codice vulnerabile di FreeBSD è stato utilizzato senza modifiche sostanziali, la falla potrebbe essere sfruttata per ottenere esecuzione di codice arbitrario.

Tuttavia, ad oggi non ci sono prove concrete di un exploit funzionante su PS4 o PS5 basato su questa vulnerabilità.

Probabile che eventuali tentativi richiedano modifiche aggiuntive al codice dell’exploit e un’analisi approfondita delle protezioni della memoria delle console.

A tal proposito, il developer Dark-life944 ha condiviso un primo PoC:

File inclusi nel PoC

• exploit.py → Script principale dell’exploit.
• shellcode.bin → Shellcode iniettato in memoria.
• x86.py → Funzioni helper per calcoli di indirizzi di memoria.

Requisiti

Per eseguire l’exploit, servono:

• Scheda Wi-Fi con supporto alla modalità Monitor (per inviare pacchetti Wi-Fi raw).
• Ambiente Linux (per eseguire lo script di exploit).
• Dipendenze Python: pip install pyelftools

Esecuzione dell’exploit su Linux

Configurare la scheda Wi-Fi in modalità Monitor

Prima di tutto, assicurarsi che la scheda Wi-Fi supporti la modalità monitor e impostarla:

sudo ifconfig wifi0 down
sudo iwconfig wifi0 mode monitor
sudo ifconfig wifi0 up

(Sostituire wifi0 con l’interfaccia Wi-Fi corretta, verificabile con ifconfig o iwconfig).

Clonare ed entrare nella directory del PoC

git clone https://github.com/Dark-life944/PoC-PS5-PS4.git
cd PoC-PS5-PS4/CVE-2022-23088

Compilare il kernel target (FreeBSD 13.0 Release)

./build.py kernels/fbsd-13.0-release

Eseguire l’exploit

sudo ./exploit.py wifi0 kernels/fbsd-13.0-release

Log dell’exploit

Durante l’esecuzione, lo script segue diverse fasi:

[+] Phase 1: writing page1
[+] Phase 2: writing L3
[+] Phase 3: patching kernel
[+] Phase 4: repairing
[+] Finished

• Phase 1: Scrive la prima pagina di memoria per predisporre l’attacco.
• Phase 2: Scrive il livello L3 per manipolare la memoria.
• Phase 3: Esegue il patching del kernel, sovrascrivendo le strutture di memoria vulnerabili.
• Phase 4: Effettua eventuali riparazioni per stabilizzare il sistema dopo l’exploit.

Download: Source code PoC-PS5-PS4 (CVE-2022-23088)

Fonte: zerodayinitiative.com

Alcune parti di questo articolo sono state generate con l’aiuto dell’intelligenza artificiale.